SSL/TLS : La visibilité ne suffit pas, il faut de l’orchestration
La sortie de la version 4.0 de SSL Orchestrator de F5 Networks résout l'un des problèmes de sécurité les plus vexants des cinq dernières années : la visibilité sur le trafic utilisateur crypté. Les budgets de sécurité ont investi des milliards dans des contrôles de sécurité de pointe qui sont étonnants en matière de sandboxing, d'inspection approfondie des paquets et intelligence artificielle, mais aveugles en matière de cryptage . La situation est critique, car le pourcentage de trafic utilisateur crypté a plus que doublé depuis 2014, dépassant les 80 %, selon le rapport TLS Telemetry 2017 de F5 Labs . Il existe désormais bien sûr des solutions de visibilité SSL qui fournissent des services de décryptage permettant à ces contrôles de sécurité de voir ce qu’ils font.
Mais la visibilité, à elle seule, ne suffit pas. Les équipes de sécurité et les opérations réseau ont constaté que la mise en place de zones de décryptage n’est pas facile. Ce n'est pas facile du tout. Les équipes de sécurité doivent souvent recourir à un chaînage manuel ou à une configuration fastidieuse pour gérer le décryptage/cryptage sur l'ensemble de la pile de sécurité. Et puis ils découvrent que les exceptions abondent. En gros, ça a été une vraie galère pour *vérifie les notes*.
Entrez dans la version 4.0 de SSL Orchestrator de F5, qui offre certes une visibilité mais se différencie du pack avec l'orchestration . L'orchestration fournit une orientation du trafic basée sur des politiques vers une chaîne de services en fonction des risques et des conditions dynamiques du réseau.
Grâce à son statut de proxy complet pour SSL/TLS et HTTP, SSL Orchestrator peut prendre des décisions intelligentes pour orienter le trafic entrant et sortant vers les chaînes de services au sein de la pile de sécurité. Aucune autre solution ne peut faire cela.
Le point clé à retenir, si vous négligez de lire après le pliage, est que quelle que soit la complexité de vos exigences de cryptage entrant et sortant, SSL Orchestrator peut redonner de la visibilité à vos millions de dollars de matériel d'inspection.
Un chaînage de services plus dynamique
F5 a introduit le concept de chaînage de services de sécurité dans les versions antérieures de SSL Orchestrator. Différents types de trafic réseau devraient faire l’objet de différents types d’inspection, n’est-ce pas ? Par exemple, le trafic sortant provenant des postes de travail administratifs doit faire l’objet d’une surveillance accrue et passer par tous les contrôles de sécurité existants sans être chiffré. Mais les sessions VDI des sous-traitants des unités commerciales peuvent ignorer le sandbox et l'IPS à leur sortie.
La version 4.0 améliore ses méthodes de contrôle de sécurité, d'enchaînement d'insertion, d'équilibrage de charge et de surveillance de manière notable, telles que celles décrites ci-dessous.
La visibilité devient (plus) visuelle !
Si vous pensez que cela semble compliqué ou déroutant, restez avec nous malgré l'anxiété au milieu des phrases, car SSL Orchestrator facilite le chaînage des services ! Il se trouve que l'éditeur de politique visuelle (VPE) de l'orchestrateur vous permet de glisser-déposer des chaînes dans votre architecture afin que vous puissiez réellement voir la manière dont la visibilité du trafic est activée.
Visibilité : Pas seulement pour HTTPS
Bien sûr, la majorité de votre trafic est HTTPS, mais si vous êtes une grande organisation et que vous avez toutes sortes de protocoles circulant dans votre kit, vous devrez peut-être également gérer certains protocoles FTP(S), IMAP, POP3 et ICAP. Et, en raison de l’accent mis récemment sur le chiffrement opportuniste , de nombreuses applications utilisent STARTTLS pour ces services. Vous pensez probablement : « c'est BEAUCOUP trop avancé pour que F5 puisse le gérer. » Eh bien, vous avez tort, Kenny, car SSL Orchestrator peut désormais détecter et décrypter correctement le cryptage opportuniste comme STARTTLS dans FTP, IMAP, POP3 et ICAP.
Optimisation de l'ICAP
La majorité des services ICAP avec lesquels nous intégrons sont des antivirus (AV). AV peut ajouter une latence importante (évidemment), donc SSL Orchestrator a ajouté quelques modifications. Vous pouvez désormais créer des politiques qui envoient uniquement certains types de requêtes/réponses via ICAP. Un exemple courant consiste à analyser uniquement les requêtes POST et à contourner le reste des charges utiles. Nous ne disons pas que c’est la manière recommandée de procéder, mais c’est ce que les gens veulent, alors nous le leur avons donné.
Tout ça et un sac de chips
Si vous souhaitez en savoir plus sur les bienfaits de la version 4.0 de SSL Orchestrator, voici quelques points essentiels (et des liens vers plus d’informations ci-dessous).
Quoi de neuf dans la version 4.0
- Utilitaire de configuration mis à jour avec capacités de provisionnement de ressources
- Inspection de tout le trafic pour détecter les logiciels malveillants et exfiltration de données
- Modes de déploiement flexibles pour s'intégrer à l'ensemble de votre infrastructure de sécurité
- Paramètres et catégories d'analyse et de journalisation améliorés
- Paramètres application L7 pour un trafic spécifique (IMAP, SMTPS, POP3, FTP, HTTP)
- Haute disponibilité avec les meilleures capacités d'équilibrage de charge, de surveillance de l'état et de déchargement SSL de leur catégorie
Et enfin, n'oubliez pas ceci : Vous devez analyser votre trafic entrant et sortant pour détecter les menaces de demain, et SSL Orchestrator est l’outil qui permet à vos contrôles de sécurité de garder le nom de votre organisation hors des papiers (au sens figuré) et loin de ces amendes RGPD embêtantes.