Sichtbarkeit und Kontrolle über SSL-Verkehr im Zeitalter von HTTP/2.0
Die „SSL Everywhere“-Architektur von F5 basiert auf dem individuell geschriebenen SSL/TLS-Stack, der Teil jeder F5 BIG-IP-Bereitstellung ist. Dies ermöglicht F5 die Sichtbarkeit und Kontrolle des SSL/TLS-Verkehrs im Zeitalter von HTTP/2.0.
Warum sind Sichtbarkeit und Kontrolle des SSL/TLS-Verkehrs so wichtig? Noch vor einem Jahrzehnt war SSL Finanzinstituten und bestimmten Organisationen wie Behörden für die Anmeldeseiten sicherheitsbewusster Websites und Dienste vorbehalten. Heute wird dies auf die meisten webbasierten Dienste ausgeweitet und entwickelt sich schnell zum De-facto-Protokoll für die Kommunikation. Einer Branchenstudie von Gartner zufolge werden bis Ende 2015 über 50 Prozent des weltweiten Internetverkehrs verschlüsselt sein.
TLS ermöglicht heute einen Paradigmenwechsel im Umgang von Unternehmen mit IT-Netzwerken, da es Kommunikationssicherheit über einen Netzwerkserver bietet. Die Verbindung zwischen Client und Server ist privat, da zur Verschlüsselung der übertragenen Daten symmetrische Kryptografie verwendet wird.
Sichtbarkeit und Kontrolle über SSL/TLS-Verkehr in HTTP/2.0
Mit der zunehmenden Verwendung von verschlüsseltem Datenverkehr ist der traditionelle Ansatz, sich auf Firewalls, Einbruchschutzsysteme und Angriffserkennungssysteme zu verlassen, obsolet geworden, da diese Geräte ohne Kenntnis des durch sie fließenden Datenstroms überrumpelt werden.
Die Lösung dieses Problems besteht darin, die anfängliche SSL-Entschlüsselung am Sicherheitsperimeter durchzuführen. Die meisten in der Branche verfügbaren Lösungen, die im Sicherheitsbereich arbeiten, sind jedoch nicht für den spezifischen Zweck der „SSL-Entschlüsselung“ konzipiert oder entwickelt worden. Manche sind zwar möglicherweise in der Lage, die Verschlüsselung zu entschlüsseln, können dies jedoch nicht ausreichend. Viele Unternehmen erleben auch erhebliche Leistungseinbußen, wenn sie die SSL-Entschlüsselung aktivieren. Dies war der Beginn einer Suche nach der Art und Weise, wie sie ihren Perimeter unter Einbeziehung einer optimierten Handhabung des SSL-Verkehrs gestalten sollten. Um die Wirksamkeit von Layer-7-Sicherheitsgeräten zu maximieren, muss die SSL-Entschlüsselung natürlich in der Nähe des Sicherheitsbereichs ausgeführt werden. Sobald das eingehende SSL entschlüsselt wurde, können die resultierenden Anfragen analysiert, geändert und gesteuert werden.
SSL-Verschlüsselung
Cyberkriminelle nutzen bei ihren Angriffen häufig SSL, um Sicherheitsvorrichtungen zu umgehen, da sie wissen, dass diese Vorrichtungen Sicherheitslücken aufweisen. Auch im SSL-Verkehr versteckte Schadsoftware könnte Sicherheitsplattformen leicht umgehen. Gartner schätzt außerdem, dass bis 2017 über 50 Prozent der Angriffe auf Unternehmensnetzwerke SSL verwenden werden, um die Sicherheitsvorkehrungen zu umgehen.
Mit der Entdeckung immer anfälligerer Verschlüsselungssammlungen, die Angriffe wie Heartbleed, BEAST, POODLE und andere verursachen, haben Sicherheitsadministratoren nur noch wenig Zeit, um die Schwachstellen zu beheben. Die Verwaltung von Hunderten oder Tausenden von SSL-Fronting-Servern würde Wochen dauern und die Server wären weiterhin anfällig für Angriffe aus böswilligen Quellen.
Die Frage ist nun, welcher Datenverkehr entschlüsselt werden soll. Wenn ein Unternehmen Inhalten externe Benutzer bereitstellt, muss es den SSL-Verkehr mithilfe eines Geräts vom Server entlasten und anschließend Schutzmaßnahmen in den Datenverkehr einbauen. Dadurch wird das SSL unterbrochen, jedoch auf intelligente Weise – Sie möchten eine Banking-Sitzung nicht entschlüsseln, eine Facebook-Sitzung jedoch schon. Die Sicherheitsabteilung muss in der Lage sein, zu verstehen, wohin der Datenverkehr fließt, und dann zu entscheiden, ob er entschlüsselt oder unverändert belassen werden soll.
Obwohl SSL den Benutzern technisch dabei hilft, Sicherheit von Punkt zu Punkt zu erreichen, sichert es nicht unbedingt den gesamten Datenverkehr. SSL könnte abgefangen werden, indem Malware im verschlüsselten Datenverkehr versteckt wird, ohne ein SSL-Zertifikat zu fälschen. Der Hauptschwerpunkt der IT liegt daher darin, die Betrugsfälle in Echtzeit zu untersuchen und umgehend einzudämmen.
Die vollständige Proxy-Architektur von F5 ermöglicht eine nahtlose Konvertierung und Entschlüsselung und implementiert gleichzeitig getrennte Verbindungen für die interne und externe Kommunikation. Die Möglichkeit, SSL-Sitzungen zu beenden, erleichtert der IT außerdem die Verschlüsselung des externen Datenverkehrs und die Verwendung des alten HTTP, falls erforderlich. Alle Verbindungen werden möglich sein und die IT muss nicht die gesamte Web-Anwendungsinfrastruktur unterbrechen und ersetzen, um die Vorteile von HTTP/2.0 zu nutzen.
Behalten Sie die Leistung bei, während Sie die TLS-Konfiguration verwalten
Mit der Einführung stärkerer Schlüssellängen von 1024 Bit auf 2048 Bit ist der Rechenleistungsbedarf exponentiell vom Vier- auf das Achtfache des vorherigen Werts gestiegen. Dadurch verringert sich die Leistung der vorhandenen Infrastruktur, die ein ähnliches Verkehrsaufkommen bewältigen muss. Durch den Einsatz spezialisierter Hardware in Kombination mit einem Hardwarebeschleuniger wird die Notwendigkeit einer Aktualisierung der CPU-Ressourcen in der gesamten Serverfarm verringert.
PCI DSS 3.1 verpflichtet Unternehmen dazu, SSL und TLS 1.0 bis zum 30. Juni 2016 nicht mehr zu verwenden und stattdessen aktuellere TLS-Implementierungen zu verwenden. Unternehmen müssen daher alle Geräte über einen zentralen SSL-Verwaltungspunkt verfügen, mit dem sich Probleme in der gesamten Umgebung innerhalb von Minuten beheben lassen.
Dokumentverweise: