SSL/TLSオーケストレーション

セキュリティ検査ツールのROIの向上

SSL/TLS暗号化に潜んでいるマルウェア

最近のF5 Labsの分析によると、フィッシング経由でインストールされたマルウェアの71%が暗号化の中に潜んでいたことがわかりました。しかし、次世代ファイアウォール(NGFW)、侵入検知/防止システム(IDS/IPS)、データ損失防止システム(DLP)などのセキュリティ検査ツールでは、SSL/TLSトラフィックが認識されないケースが増えています。また、デイジーチェーン接続された複数のデバイスで復号化と再暗号化を行うことによりレイテンシも多く発生しています。暗号化されたトラフィックの管理が一元化されていないことで、設定変更が必要なときに苛立たしいオーバーヘッドも発生します。

暗号化されたトラフィックを可視化する方法

幸いなことに、潜んでいるマルウェアによる侵害のために高額なコストを支払う必要はありません。F5® SSL Orchestrator®をお使いの環境に追加することで、暗号化されたトラフィックを復号化し、セキュリティ コントロールで検査した後、再暗号化できます。その結果、セキュリティ検査技術への投資を最大限に活用して、悪用、コールバック、データの漏出などのインバウンドおよびアウトバウンドの脅威を防ぐことができます。

SSL Orchestratorは、暗号化された脅威を可視化するだけではありません。動的なサービス チェイニングとポリシーベースのトラフィック ステアリングを提供し、暗号化されたトラフィックの処理にコンテキストベースのインテリジェンスを適用します。これにより、セキュリティ チェーン全体で暗号化されたすべてのトラフィックの流れをインテリジェントに管理できます。また、トラフィック内で規制されたプライバシー データの復号化を適切にバイパスすることもできます。

フィッシング経由でインストールされたマルウェアの71%がSSL/TLS暗号化に潜んでいます。

F5 SSL Orchestratorとセキュリティ検査ツールの統合

SSL Orchestratorは、既存のアーキテクチャや変化し続けるアーキテクチャと簡単に統合して、SSL/TLS復号化/暗号化機能を一元管理できるように設計されており、セキュリティ インフラストラクチャ全体に最新のSSL/TLSプロトコル バージョンと暗号化方式を提供します。

SSL Orchestratorは、複数のトポロジーやプロトコルをサポートしているので、検査ツールとの統合に関してベンダーに依存しません。そのため、トラフィック フローを妨げることなく、必要に応じてセキュリティ サービスの追加や削除を行うことができます。

F5の主要パートナーが推奨する実践方法について以下のテクニカル統合ガイドをご覧ください。

一元管理型のSSL/TLSの復号化と再暗号化の主なメリット

  • アプリケーションに向かうSSL/TLSトラフィックとネットワークから出ていくSSL/TLSトラフィックを復号化し、脅威の特定や攻撃の阻止を行うセキュリティ検査ツールにルーティングした後、トラフィックを再暗号化して宛先に送信します。

  • カスタム ポリシーとネットワーク/デバイスの状態に基づいてセキュリティ ツールのチェーンを動的に構築し、健全性とロード バランシングを監視することで、セキュリティ スタックのレジリエンスを強化します。

  • カスタム ポリシーでは、位置情報、IPレピュテーション、URLの分類、サード パーティのICAP統合などをサポートする組み込みのコンテキスト エンジンを使用して、適切なセキュリティ検査ツールへのインテリジェントなルーティングを定義します。

  • 銀行や医療に関連するWebサイトまたはアプリケーションとの間のトラフィックなど、規制されたプライバシー データの復号化をバイパスできます。

  • セキュリティ インフラストラクチャ全体で暗号の変更を一元管理する単一のプラットフォームを提供することで管理コストを削減し、アーキテクチャの変更を最小限に抑えます。

  • トラフィックが完全前方秘匿性で暗号化されている場合でも、アウトオブバンド ツールを使用して、アプリケーションに入るトラフィックのパッシブ検査を再度有効にします。

  • 複雑なレイヤー2または3のアーキテクチャに柔軟に統合することで、あらゆる導入モードをサポートします。


SSLオーケストレーションの機能

可視性 高性能のSSL/TLS復号化/再暗号化、インバウンドおよびアウトバウンドの暗号化トラフィックに対応
動的なサービス チェイニング 復号化されたトラフィックのポリシーベースのステアリング
物理的なインターフェイス、ポート、またはVLANからの切り離し
セキュリティ サービスの追加を簡素化
サービスの監視とレジリエンス
複数のセキュリティ デバイスのロード バランシング
コンテキスト ポリシー エンジン ソースIPおよび宛先IPとサブネット ポート
プロトコル ドメイン
IP位置情報
IPレピュテーション(サブスクリプション)
URLの分類(サブスクリプション)
検査アクションのためのポリシーベースのブロック、バイパス、転送
きめ細かな制御 ヘッダーの変更、ポート変換のサポート
TCPセッションのレジリエンスを備えた高可用性
堅牢な暗号とプロトコルのサポート TLS 1/1.1/1.2/1.3
前方秘匿性/完全前方秘匿性を備えたRSA/DHE/ECDHEと前方秘匿性をサポートするSHA、SHA2、AES、AES-GCM
暗号およびプロトコルのプロキシレベルの制御
導入モード アウトバウンド レイヤー3の明示的プロキシ
アウトバウンド レイヤー3の透過プロキシ
インバウンド レイヤー3のリバース プロキシ
アウトバウンド レイヤー2
インバウンド レイヤー2
既存のアプリケーション(既存のLTMアプリケーション)
サポートされているサービスの種類 HTTP Webプロキシ サービス
インライン レイヤー3のサービス
インライン レイヤー2のサービス
ICAP/DLPサービス
TAPサービス
スループット 仮想エディションで最大9.3 Gbps
8,500トランザクション/秒
アプライアンスで最大24 Gbps
53,000トランザクション/秒
復号化機能を備えていますか?

ページロードのほぼ 90% は SSL/TLS で暗号化されており、攻撃者は悪意のあるペイロードを隠すために暗号化を使用するのが一般的です。SSL/TLSトラフィックを検査していない場合、攻撃を見逃してしまい、組織を脆弱な状態にしてしまいます。

Read the article
ビデオを見る

さらに詳しく

デモ

SSL Orchestratorのガイド付きデモ

SSL Orchestratorを導入することで、ネットワークに出ていく暗号化されたトラフィックをセキュリティ検査ツールでどのように検査できるようになるかをデモでご覧ください。

F5にお問い合わせください

F5のセキュリティ専門家にご相談ください

SSL Orchestratorで隠れた脅威を特定し攻撃を防ぐ方法を理解するチャンスです。今すぐF5にご連絡ください。

製品

SSL Orchestrator

インフラストラクチャ全体に簡単に統合できる最新のSSL/TLS暗号化管理技術を探り、既存のセキュリティ検査ツールへの投資を活用できるようにします。

Webセミナー

暗号化に潜む攻撃を検出する方法

暗号化されたトラフィックに関連するリスクと、すべてのセキュリティ ソリューションの検査を管理する方法については、F5のセキュリティ専門家にお問い合わせください。