Mit der explosionsartigen Zunahme des HTTPS-Verkehrs ist die Entschlüsselung zu einer Notwendigkeit geworden, um Entscheidungen über die Verwaltung des Datenverkehrs auf Anwendungsebene zu treffen. Der F5 SSL Orchestrator bietet eine leistungsstarke Entschlüsselung des ein- und ausgehenden SSL/TLS-Datenverkehrs und ermöglicht so Sicherheitsprüfungen, um Bedrohungen aufzudecken, Angriffe zu stoppen und Geschäftsrisiken zu reduzieren.
Beinahe 90 % des gesamten Internetdatenverkehrs ist verschlüsselt – und bald gilt dies für fast alle im Internet übertragenen Daten. Die Anforderung, den Datenverkehr genauer zu untersuchen, ist exponentiell gewachsen, da sich die Bedrohungslandschaft weiterentwickelt hat und die Verschlüsselung inzwischen allgegenwärtig ist. SecOps-Teams setzen zahlreiche Technologien ein, um Bedrohungen für ihre Anwendungen zu erkennen, darunter Firewalls der nächsten Generation (NGFW), Webanwendungs-Firewalls (WAF) und Intrusion-Prevention-Systeme (IPS). Da diese Technologien jedoch keinen Einblick in den verschlüsselten Datenverkehr haben oder nur schwer Entschlüsselungen in großem Maßstab vornehmen können, ist in diesem Rahmen eine SSL/TLS-Entschlüsselung erforderlich, um bei der Prüfung auch tatsächlich einen Nutzen zu erzielen. In einer gewöhnlichen Infrastruktur müssen diese Entschlüsselungs- und erneuten Verschlüsselungsaufgaben an jedem Punkt in der Prüfkette wiederholt werden.
Die Entschlüsselung an mehreren Punkten in einem Verbindungsdatenfluss bringt mehrere Probleme mit sich:
· Zusätzliche Investitionen für die TLS-Entschlüsselung und Schlüsselverwaltung auf jedem Gerät.
· Zusätzlicher Leistungsaufwand auf jedem Entschlüsselungsgerät.
· Mehrere Ausfallpunkte und erhöhte Latenz der Verbindung.
· Erhöhte Schwierigkeiten und Kosten bei der Fehlerbehebung.
· Herausforderungen bei der unabhängigen Skalierung jedes Dienstes.
· Inkonsistente Unterstützung von SSL/TLS-Protokollen und -Chiffren über den gesamten Sicherheitsstapel hinweg.
Viele Organisationen haben darauf reagiert, indem sie Entschlüsselungszonen in der DMZ eingerichtet haben, die von mehreren Geräten geprüft werden. Meist handelt es sich dabei jedoch um einen statischen Pfad, bei dem der gesamte entschlüsselte Datenverkehr durch die gleiche Kette von Geräten geprüft wird. Diese Strategie erhöht zwar die Leistung und senkt den Verwaltungsaufwand, kann aber Skalierungsprobleme mit sich bringen. Außerdem ist die Umgebung dadurch möglicherweise auf eine weniger sichere Verschlüsselung beschränkt, da die Nutzung der für Forward-Secrecy erforderlichen Verschlüsselungssuites eingeschränkt ist. Schließlich kann sich der Prozess auch als ineffizient erweisen, weil Ihre Sicherheitsgeräte alles inspizieren, anstatt nur den verdächtigen Datenverkehr zu identifizieren und zu prüfen. Die Einrichtung einer Entschlüsselungszone ohne zusätzliche Analyse und Orchestrierung des Datenverkehrs ist nicht die ideale Lösung für das drängende Problem der Transparenz des verschlüsselten Verkehrs. Die gute Nachricht ist, dass es einen besseren Weg gibt.
SICHERUNG DES GESAMTEN EIN- UND AUSGEHENDEN DATENVERKEHRS
Mit der explosionsartigen Zunahme des HTTPS-Verkehrs ist die Entschlüsselung zu einer Notwendigkeit geworden, um Entscheidungen über die Verwaltung des Datenverkehrs auf Anwendungsebene zu treffen. Unternehmen setzen häufig einen Application Delivery Controller (ADC) wie den BIG-IP Local Traffic Manager (LTM) ein, um die Transparenz für andere Systeme über den Anwendungsserver hinaus zu gewährleisten. Eine relativ neue Herausforderung stellt die Ermöglichung von Transparenz für mehrere Prüfungstechnologien von Drittanbietern auf derselben Anwendungsverbindung dar.
Transparenz alleine reicht nicht aus. Sicherheitsexperten benötigen eine Orchestrierung, um Sicherheitsinvestitionen zu maximieren und konsistente Richtlinien zur Datenverkehrssteuerung unabhängig von Gerät, Topologie oder SSL/TLS-Protokoll bzw. -Chiffren zu bewahren. Mit dem F5 SSL Orchestrator können Sie mehrere Prüfungsdienste sowohl für eingehende als auch für ausgehende Datenverkehrsströme dynamisch miteinander verketten. Dank dieser neuen Fähigkeit zur Verkettung eingehender Dienste ist ein bereits vorhandener BIG-IP LTM logischerweise der Ort, an dem der SSL Orchestrator hinzugefügt werden kann, um eine solche Sicherheitsprüfung zu ermöglichen, die die heutige Bedrohungslandschaft erfordert.
Betrachten Sie das Szenario, in dem der gesamte entschlüsselte Datenverkehr an ein Leistungsüberwachungssystem gesendet wird, bevor er an den Zielanwendungsserver weitergeleitet wird. Wenn die Quell-IP-Adresse verdächtig ist, wäre es von Vorteil, diesen entschlüsselten Datenverkehr zur Überprüfung an das IPS und zur Protokollierung an das Leistungsüberwachungssystem zu senden. Mit dem SSL Orchestrator kann diese zusätzliche Überprüfung einer verdächtigen Anfrage ohne komplexes Routing oder zusätzliche Netzwerkwege erfolgen. Die einzigartige Service-Chaining-Fähigkeit des SSL Orchestrator ermöglicht es Sicherheitsexperten, eine dynamische Konfiguration zu erstellen, die sich an viele verschiedene Szenarien mit mehreren zugehörigen Prüfpfaden anpassen lässt.
Die einzigartige Service-Chaining-Fähigkeit des SSL Orchestrator ermöglicht es Sicherheitsexperten, eine dynamische Konfiguration zu erstellen.
Der SSL Orchestrator umfasst einen benutzerfreundlichen Visual Policy Editor mit Workflows, die sowohl neue als auch bestehende Anwendungen unterstützen. Dadurch gestaltet sich die Integration in bestehende Umgebungen oder die Erstellung neuer Umgebungen besonders einfach. Der SSL Orchestrator kann auch so konfiguriert werden, wie es in einer eigenständigen Architektur der Fall wäre, um erneut verschlüsselten Datenverkehr an ein anderes geroutetes Ziel anstelle eines Pools von Anwendungsservern zu senden.
ÜBERLEGUNGEN HINSICHTLICH DER ARCHITEKTUR
Nach dem Passieren jedes Prüfungsgeräts in der Entschlüsselungszone kehrt der Datenverkehr zum ursprünglichen BIG-IP-Gerät zurück. Dadurch können der Datenverkehr und die Auslastung schnell ansteigen. Für Bereitstellungen von BIG-IP Cloud Edition kann dies bedeuten, dass größere oder mehr Instanzen verwendet werden müssen. Für BIG-IP-Hardware-Appliances bedeutet dies, sicherzustellen, dass eine neue oder bereits vorhandene Appliance mit ausreichend verfügbarer Kapazität ausgestattet ist. Glücklicherweise arbeitet der hochoptimierte SSL/TLS-Stack in TMOS sowohl bei der Entschlüsselung als auch bei der erneuten Verschlüsselung äußerst effizient – und in Sachen Hardware ergibt sich zusätzlich der Vorteil von dedizierten Kryptoprozessoren.
FAZIT
Bei Sicherheit geht es um die Kontrolle von Risiken, und Kontrolle ist nur mithilfe von Transparenz möglich. Der F5 SSL Orchestrator bietet eine leistungsstarke Entschlüsselung des ein- und ausgehenden SSL/TLS-Datenverkehrs und ermöglicht so Sicherheitsprüfungen, um Bedrohungen aufzudecken, Angriffe zu stoppen und Geschäftsrisiken zu reduzieren. Darüber hinaus können Sicherheitsexperten mehr Transparenz in neue und bestehende Datenverkehrsströme bringen, um die Wirksamkeit früherer Sicherheitsinvestitionen zu maximieren. Durch das Hinzufügen des SSL Orchestrator zum BIG-IP Local Traffic Manager werden die Auswirkungen auf Ihre bestehende Architektur minimiert, und Ihr ADC wird als strategischer Kontrollpunkt genutzt – was dazu beiträgt, Ihre Sicherheitslage zu verbessern und gleichzeitig die für Ihr Unternehmen erforderlichen Leistungsstandards aufrechtzuerhalten.
