Die Entschlüsselung an mehreren Punkten in einem Verbindungsdatenfluss bringt mehrere Probleme mit sich:
· Zusätzliche Investitionen für die TLS-Entschlüsselung und Schlüsselverwaltung auf jedem Gerät.
· Zusätzlicher Leistungsaufwand auf jedem Entschlüsselungsgerät.
· Mehrere Ausfallpunkte und erhöhte Latenz der Verbindung.
· Erhöhte Schwierigkeiten und Kosten bei der Fehlerbehebung.
· Herausforderungen bei der unabhängigen Skalierung jedes Dienstes.
· Inkonsistente Unterstützung von SSL/TLS-Protokollen und -Chiffren über den gesamten Sicherheitsstapel hinweg.
Viele Organisationen haben darauf reagiert, indem sie Entschlüsselungszonen in der DMZ eingerichtet haben, die von mehreren Geräten geprüft werden. Meist handelt es sich dabei jedoch um einen statischen Pfad, bei dem der gesamte entschlüsselte Datenverkehr durch die gleiche Kette von Geräten geprüft wird. Diese Strategie erhöht zwar die Leistung und senkt den Verwaltungsaufwand, kann aber Skalierungsprobleme mit sich bringen. Außerdem ist die Umgebung dadurch möglicherweise auf eine weniger sichere Verschlüsselung beschränkt, da die Nutzung der für Forward-Secrecy erforderlichen Verschlüsselungssuites eingeschränkt ist. Schließlich kann sich der Prozess auch als ineffizient erweisen, weil Ihre Sicherheitsgeräte alles inspizieren, anstatt nur den verdächtigen Datenverkehr zu identifizieren und zu prüfen. Die Einrichtung einer Entschlüsselungszone ohne zusätzliche Analyse und Orchestrierung des Datenverkehrs ist nicht die ideale Lösung für das drängende Problem der Transparenz des verschlüsselten Verkehrs. Die gute Nachricht ist, dass es einen besseren Weg gibt.
SICHERUNG DES GESAMTEN EIN- UND AUSGEHENDEN DATENVERKEHRS
Mit der explosionsartigen Zunahme des HTTPS-Verkehrs ist die Entschlüsselung zu einer Notwendigkeit geworden, um Entscheidungen über die Verwaltung des Datenverkehrs auf Anwendungsebene zu treffen. Unternehmen setzen häufig einen Application Delivery Controller (ADC) wie den BIG-IP Local Traffic Manager (LTM) ein, um die Transparenz für andere Systeme über den Anwendungsserver hinaus zu gewährleisten. Eine relativ neue Herausforderung stellt die Ermöglichung von Transparenz für mehrere Prüfungstechnologien von Drittanbietern auf derselben Anwendungsverbindung dar.