Visibilité et contrôle du trafic SSL à l'ère du HTTP/2.0
L'architecture F5 « SSL Everywhere » est centrée sur la pile SSL/TLS personnalisée qui fait partie de chaque déploiement F5 BIG-IP. Cela permet à F5 d'avoir la visibilité et le contrôle sur le trafic SSL/TLS à l'ère du HTTP/2.0.
Pourquoi la visibilité et le contrôle du trafic SSL/TLS sont-ils si importants ? Il y a seulement dix ans, SSL était réservé aux institutions financières et à certaines organisations spécifiques comme les agences du secteur public pour les pages de connexion des sites Web et des services soucieux de la sécurité. Aujourd’hui, ce protocole a été étendu à la plupart des services Web et devient rapidement le protocole de facto pour les communications. Selon une étude sectorielle réalisée par Gartner, plus de 50 % du trafic Internet mondial sera crypté d’ici la fin de l’année 2015.
TLS représente aujourd’hui un changement de paradigme dans la manière dont les entreprises abordent les réseaux informatiques, car il offre une sécurité des communications sur un serveur réseau. La connexion entre le client et le serveur est privée car la cryptographie symétrique est utilisée pour crypter les données transmises.
Visibilité et contrôle du trafic SSL/TLS en HTTP/2.0
Avec l'utilisation croissante du trafic crypté, l'approche traditionnelle consistant à dépendre des pare-feu, des systèmes de protection contre les intrusions et des systèmes de détection d'intrusion est devenue obsolète, car ces appareils seront pris au dépourvu sans connaître le flux de données qui les traverse.
La solution à ce problème est que le décryptage SSL initial ait lieu au niveau du périmètre de sécurité. Cependant, la plupart des solutions disponibles dans l’industrie travaillant au niveau du périmètre de sécurité ne sont pas conçues ou développées dans le but spécifique du « décryptage SSL ». Même si certains ont la capacité de décrypter, ils ne sont pas en mesure de le faire correctement. De nombreuses entreprises constatent également une baisse significative des performances lorsqu’elles activent le décryptage SSL. Cela a donné lieu à une quête visant à explorer « comment » ils devraient concevoir leur périmètre en intégrant une gestion optimisée du trafic SSL. De toute évidence, pour maximiser l’efficacité des dispositifs de sécurité de couche 7, le décryptage SSL doit être exécuté à proximité du périmètre de sécurité. Une fois le SSL entrant décrypté, les requêtes résultantes peuvent être analysées, modifiées et orientées.
Chiffrement SSL
Les cybercriminels attaquent souvent en utilisant SSL pour contourner les dispositifs de sécurité, sachant que ces dispositifs constituent des failles de sécurité. Les logiciels malveillants cachés dans le trafic SSL pourraient également facilement contourner les plateformes de sécurité. Gartner estime également que d’ici 2017, plus de 50 % des attaques sur le réseau des entreprises utiliseront SSL pour contourner la sécurité.
Avec la découverte de suites de chiffrement plus vulnérables qui génèrent des attaques telles que Heartbleed, BEAST, POODLE et bien d'autres, les administrateurs de sécurité disposent d'un court laps de temps pour corriger les vulnérabilités. La gestion de centaines ou de milliers de serveurs SSL frontaux prendrait des semaines à réparer alors qu'ils restent vulnérables aux attaques de sources malveillantes.
Il s’agit alors de savoir quel trafic décrypter. Si une entreprise fournit du contenu à des utilisateurs externes, elle doit utiliser un appareil pour décharger le trafic SSL du serveur, puis insérer une protection dans le flux de trafic. Cela brisera le SSL, mais de manière intelligente - vous ne voulez pas décrypter une session bancaire mais vous le faites pour une session Facebook. La sécurité doit disposer de l’intelligence nécessaire pour comprendre où va le trafic et ensuite prendre une décision quant à savoir s’il doit être déchiffré ou laissé tel quel.
Bien que SSL permette techniquement aux utilisateurs d’obtenir une sécurité d’un point à un autre, il ne sécurise pas nécessairement l’ensemble du trafic. SSL pourrait être intercepté en cachant des logiciels malveillants dans le trafic crypté sans falsifier un certificat SSL. L’objectif principal de l’informatique est donc d’inspecter les escroqueries en temps réel et de les atténuer immédiatement.
L’architecture proxy complète de F5 permet une conversion et un décryptage transparents, tout en mettant en œuvre des connexions séparées pour les communications internes et externes. La possibilité de mettre fin aux sessions SSL permet également au service informatique d'utiliser plus facilement le cryptage pour le trafic externe et d'utiliser l'ancien HTTP si nécessaire. Toutes les connexions seront possibles et le service informatique n’aura pas besoin de casser et de remplacer toute l’infrastructure de l’application Web pour profiter des avantages de HTTP/2.0.
Maintenez les performances tout en gérant la configuration TLS
Avec l’adoption de longueurs de clé plus fortes, de 1024 bits à 2048 bits, les besoins de calcul ont augmenté de manière exponentielle, passant de quatre à huit fois par rapport aux années précédentes. Cela diminue les performances de l’infrastructure existante qui doit gérer une taille de trafic similaire. Disposer d'un matériel spécialisé ainsi que d'un accélérateur matériel réduira la nécessité de mettre à niveau les ressources CPU sur l'ensemble de la batterie de serveurs.
Avec la norme PCI DSS 3.1 obligeant les entreprises à cesser d'utiliser SSL et TLS 1.0 d'ici le 30 juin 2016 au profit d'implémentations TLS plus récentes, les entreprises devront se conformer à ce que tous les appareils disposent d'un point de gestion SSL centralisé qui permettra de corriger les problèmes en quelques minutes dans l'ensemble de l'environnement.
Références du document :