RELATED CONTENT
復号化機能を備えていますか?
ビデオを見る
ページロードのほぼ 90% は SSL/TLS で暗号化されており、攻撃者は悪意のあるペイロードを隠すために暗号化を使用するのが一般的です。SSL/TLSトラフィックを検査していない場合、攻撃を見逃してしまい、組織を脆弱な状態にしてしまいます。
SSL/TLS暗号化に潜んでいるマルウェア
最近のF5 Labsの分析によると、フィッシング経由でインストールされたマルウェアの71%が暗号化の中に潜んでいたことがわかりました。しかし、次世代ファイアウォール(NGFW)、侵入検知/防止システム(IDS/IPS)、データ損失防止システム(DLP)などのセキュリティ検査ツールでは、SSL/TLSトラフィックが認識されないケースが増えています。また、デイジーチェーン接続された複数のデバイスで復号化と再暗号化を行うことによりレイテンシも多く発生しています。暗号化されたトラフィックの管理が一元化されていないことで、設定変更が必要なときに苛立たしいオーバーヘッドも発生します。
暗号化されたトラフィックを可視化する方法
幸いなことに、潜んでいるマルウェアによる侵害のために高額なコストを支払う必要はありません。F5® SSL Orchestrator®をお使いの環境に追加することで、暗号化されたトラフィックを復号化し、セキュリティ コントロールで検査した後、再暗号化できます。その結果、セキュリティ検査技術への投資を最大限に活用して、悪用、コールバック、データの漏出などのインバウンドおよびアウトバウンドの脅威を防ぐことができます。
SSL Orchestratorは、暗号化された脅威を可視化するだけではありません。動的なサービス チェイニングとポリシーベースのトラフィック ステアリングを提供し、暗号化されたトラフィックの処理にコンテキストベースのインテリジェンスを適用します。これにより、セキュリティ チェーン全体で暗号化されたすべてのトラフィックの流れをインテリジェントに管理できます。また、トラフィック内で規制されたプライバシー データの復号化を適切にバイパスすることもできます。
“
フィッシング経由でインストールされたマルウェアの71%がSSL/TLS暗号化に潜んでいます。
F5 SSL Orchestratorとセキュリティ検査ツールの統合
SSL Orchestratorは、既存のアーキテクチャや変化し続けるアーキテクチャと簡単に統合して、SSL/TLS復号化/暗号化機能を一元管理できるように設計されており、セキュリティ インフラストラクチャ全体に最新のSSL/TLSプロトコル バージョンと暗号化方式を提供します。
SSL Orchestratorは、複数のトポロジーやプロトコルをサポートしているので、検査ツールとの統合に関してベンダーに依存しません。そのため、トラフィック フローを妨げることなく、必要に応じてセキュリティ サービスの追加や削除を行うことができます。
F5の主要パートナーが推奨する実践方法について以下のテクニカル統合ガイドをご覧ください。
一元管理型のSSL/TLSの復号化と再暗号化の主なメリット
- アプリケーションに向かうSSL/TLSトラフィックとネットワークから出ていくSSL/TLSトラフィックを復号化し、脅威の特定や攻撃の阻止を行うセキュリティ検査ツールにルーティングした後、トラフィックを再暗号化して宛先に送信します。
- カスタム ポリシーとネットワーク/デバイスの状態に基づいてセキュリティ ツールのチェーンを動的に構築し、健全性とロード バランシングを監視することで、セキュリティ スタックのレジリエンスを強化します。
- カスタム ポリシーでは、位置情報、IPレピュテーション、URLの分類、サード パーティのICAP統合などをサポートする組み込みのコンテキスト エンジンを使用して、適切なセキュリティ検査ツールへのインテリジェントなルーティングを定義します。
- 銀行や医療に関連するWebサイトまたはアプリケーションとの間のトラフィックなど、規制されたプライバシー データの復号化をバイパスできます。
- セキュリティ インフラストラクチャ全体で暗号の変更を一元管理する単一のプラットフォームを提供することで管理コストを削減し、アーキテクチャの変更を最小限に抑えます。
- トラフィックが完全前方秘匿性で暗号化されている場合でも、アウトオブバンド ツールを使用して、アプリケーションに入るトラフィックのパッシブ検査を再度有効にします。
- 複雑なレイヤー2または3のアーキテクチャに柔軟に統合することで、あらゆる導入モードをサポートします。
|
|
| 可視性 | 高性能のSSL/TLS復号化/再暗号化、インバウンドおよびアウトバウンドの暗号化トラフィックに対応 |
| 動的なサービス チェイニング | 復号化されたトラフィックのポリシーベースのステアリング 物理的なインターフェイス、ポート、またはVLANからの切り離し セキュリティ サービスの追加を簡素化 サービスの監視とレジリエンス 複数のセキュリティ デバイスのロード バランシング |
| コンテキスト ポリシー エンジン | ソースIPおよび宛先IPとサブネット ポート プロトコル ドメイン IP位置情報 IPレピュテーション(サブスクリプション) URLの分類(サブスクリプション) 検査アクションのためのポリシーベースのブロック、バイパス、転送 |
| きめ細かな制御 | ヘッダーの変更、ポート変換のサポート TCPセッションのレジリエンスを備えた高可用性 |
| 堅牢な暗号とプロトコルのサポート | TLS 1/1.1/1.2/1.3 前方秘匿性/完全前方秘匿性を備えたRSA/DHE/ECDHEと前方秘匿性をサポートするSHA、SHA2、AES、AES-GCM 暗号およびプロトコルのプロキシレベルの制御 |
| 導入モード | アウトバウンド レイヤー3の明示的プロキシ アウトバウンド レイヤー3の透過プロキシ インバウンド レイヤー3のリバース プロキシ アウトバウンド レイヤー2 インバウンド レイヤー2 既存のアプリケーション(既存のLTMアプリケーション) |
| サポートされているサービスの種類 | HTTP Webプロキシ サービス インライン レイヤー3のサービス インライン レイヤー2のサービス ICAP/DLPサービス TAPサービス |
| スループット | 仮想エディションで最大9.3 Gbps 8,500トランザクション/秒 アプライアンスで最大24 Gbps 53,000トランザクション/秒 |