RELATED CONTENT
安全套接字 (SSL) 在近 25 年前,因需要在传输中保护数据而首次被金融服务行业采用。如今,近 90% 的页面加载都有加密(利用 SSL 或传输层安全性协议(TLS,SSL 的后续协议),这已成为各行业中,各大规模组织的标准。多项因素共同推动这一应用,其中包括欧盟《通用数据保护条例》(GDPR)、Google 搜索结果排序偏好、HTTP(明文)网站的浏览器警告,以及轻松获得廉价或免费证书 (Let’s Encrypt) 等。
虽然这种演进改善了用户的隐私和 Web 流量的安全性,但它是有代价的:加密流量中隐匿的恶意软件潜在危险和工作负载需求的增加。金融服务组织尤为如此,他们如今更为需要实施解决方案,以确保其底层基础设施和支付系统的完整性,同时保护客户的财务信息,而所有这些都不会影响其银行服务的速度与可用性。
F5 实验室威胁情报研究表明,在数百万个采样网站中,90% 的页面加载都有加密。
加密流量非常适合防止中间人攻击,中间人攻击可能允许攻击者查看或更改财务数据;但是,加密会使检查或分析设备及服务无法察觉该流量。加密和解密流量会消耗大量的计算能力,因此许多安全检查解决方案(如入侵检测/防护系统 (IDS/ IPS)、恶意软件沙盒、下一代防火墙 (NGFW))和其他解决方案要么根本不解密,要么性能受到显著影响,以致于它们通过加密流量只是为了保持同步。
众所周知恶意软件十分危险,但通常需要分层防御来识别并阻止
恶意软件传播给其他用户和设备,或外泄数据。恶意软件可以从多个不同的来源(如恶意网站或网络钓鱼电子邮件)获取,因此,检查出口网络流量以确保恶意软件无法调用命令和控制服务器,并且没有敏感数据离开您的受控环境至关重要。这也是一项挑战,因为几乎所有攻击者如今都使用加密通道来隐藏其恶意软件的出站通信。
检查入站流量也困难重重。根据 F5 实验室 2018 应用保护报告,应用或网站通常对组织业务至关重要,34% 的 Web 应用被报告为关键任务。当应用至关重要时,您很可能拥有安全解决方案,如 Web 应用防火墙 (WAF) 或入侵检测系统 (IDS)/入侵防护系统 (IPS) 来过滤恶意流量。除安全检查设备外,您可能需要通过分析引擎或客户体验解决方案运行应用流量。所有这些解决方案都提供独特的价值,但大规模解密不太可能成为其中之一。
Web 应用被报告为关键任务,并且它们面临恶意流量的风险。
F5 实验室近期研究表明,75% 的恶意软件使用加密来隐藏其踪迹,使专门的安全设备无法对其加以识别并消除,而且该数字可能还会继续增长。在实施深度防御策略时,许多管理员在串行链中部署安全解决方案以抵御恶意软件。这种操作令人难以置信的低效,并且还为恶意流量通过大量的安全检查解决方案敞开了大门。尽管您需要可视性与安全性,但不能不考虑性能。
解密流量并发送至检查设备的 SSL/TLS 解决方案是降低恶意软件影响的第一步。但是,如果某些流量不需要通过某些检查设备,可能会引入不必要的延迟。例如,如果用户的出站流量将转到已知良好的站点(或 IP 地址),并且数据丢失防护 (DLP) 解决方案未检测到任何敏感内容,那么流量是否仍需要通过 NGFW 或 IDS?也许要通过,但重要的是能够根据风险承受能力自定义流量路径。
若存在集中控制点,可以在弃用旧密码时更容易地更改它们。
TLS 协议具有被称为“完全前向保密”(PFS) 保护的被动监视对策,这为加密连接双方间的密钥交换协议增加了额外交换。通过为用户启动的每个会话生成唯一的密钥,PFS 能够保证攻击者无法简单地恢复单个密钥并解密数百万个之前记录的对话。
随着 PFS 成为既实标准(尤其因为这是 TLS 1.3 中允许的唯一方法),因此您需要为入站流量的任何被动检查解决方案制定计划。之前使用 RSA 密钥,您会与任意的解决方案共享密钥。但是,PFS 不可能为每个会话生成唯一的密钥。F5® SSL Orchestrator® 可以解密并转发明文流量给检查解决方案,也可以使用 RSA TLS 1.2 解密并重新加密。第二个选项确实重新让检查设备进行解密,但解决方案无需与流量保持一致,因此不会增加延迟,数据中心内也不会有明文数据传输。
利用椭圆曲线密码尚未发现任何漏洞,在实施 PFS 时,椭圆曲线密码为必需;但我们都知道,目前安全的东西未必永远都安全。安全研究和黑客工具不断进步,计算能力也在不断进步,这不可避免地有助于发现漏洞。具有所有解密和加密的集中控制点,可以在弃用旧密码时更容易地更改它们。
能够看到进出您网络的数据包内部,是一项伟大举措;但这只是第一步。依靠手动菊链或配置管理整个安全堆栈中的解密/加密十分繁琐。并且我们都知道,任何强制要求事物以某种方式运作的策略始终会有意外情况。虽然 SSL Orchestrator 能够提供大规模可见性,但其可利用编排将自己与包区别开来。当谈及绕过解密监管数据(如与 GDPR 或 HIPAA 要求相关的 PII)时,分类与编排尤为重要。
能够看到进入应用或从您网络离开的数据包内部,是一项伟大举措;但这只是第一步。
编排可根据风险和动态网络条件,向服务链提供基于策略的流量引导。通过成为 SSL/TLS 和 HTTP 的全代理,SSL Orchestrator 可以做出明智决策,将入站和出站流量引导到安全堆栈中的相应服务链,减轻网络中现有安全设备的负担。虽然大部分流量可能是 HTTPS,但 SSL Orchestrator 允许您智能地管理其他流量类型的解密和重新加密,例如 FTP、IMAP、POP3 和 ICAP 中的 STARTTLS。