Visibilidade e controle sobre o tráfego SSL na era do HTTP/2.0
A arquitetura “SSL Everywhere” do F5 é centrada na pilha SSL/TLS personalizada que faz parte de cada implantação do F5 BIG-IP. Isso permite que a F5 tenha visibilidade e controle sobre o tráfego SSL/TLS na era do HTTP/2.0.
Por que a visibilidade e o controle do tráfego SSL/TLS são tão importantes? Apenas uma década atrás, o SSL era reservado para instituições financeiras e algumas organizações específicas, como agências do setor público, para páginas de login de sites e serviços preocupados com a segurança. Hoje, isso foi expandido para a maioria dos serviços baseados na web e está rapidamente se tornando o protocolo de fato para comunicações. Com base em pesquisas do setor da Gartner, mais de 50% do tráfego mundial da Internet será criptografado até o final de 2015.
O TLS hoje oferece uma mudança de paradigma na forma como as empresas abordam as redes de TI, pois oferece segurança nas comunicações por meio de um servidor de rede. A conexão entre cliente e servidor é privada porque a criptografia simétrica é usada para criptografar os dados transmitidos.
Visibilidade e controle sobre tráfego SSL/TLS em HTTP/2.0
Com o uso crescente de tráfego criptografado, a abordagem tradicional de depender de firewalls, sistemas de proteção contra intrusão e sistemas de detecção de intrusão tornou-se obsoleta, pois esses dispositivos serão pegos de surpresa sem saber o fluxo de dados que está passando por eles.
A solução para esse problema é fazer com que a descriptografia SSL inicial ocorra no perímetro de segurança. Entretanto, a maioria das soluções disponíveis na indústria que trabalham no perímetro de segurança não foram projetadas ou desenvolvidas para o propósito específico de “descriptografia SSL”. Embora alguns possam ter a capacidade de descriptografar, eles não conseguem fazê-lo adequadamente. Muitas empresas também estão enfrentando quedas significativas de desempenho ao habilitar a descriptografia SSL. Isso deu início a uma busca para explorar “como” eles deveriam projetar seu perímetro incorporando o tratamento otimizado do tráfego SSL. Obviamente, para maximizar a eficácia dos dispositivos de segurança da camada 7, a descriptografia SSL deve ser executada perto do perímetro de segurança. Depois que o SSL de entrada for descriptografado, as solicitações resultantes podem ser analisadas, modificadas e direcionadas.
Cifra SSL
Os cibercriminosos geralmente atacam usando SSL para contornar dispositivos de segurança, sabendo que esses dispositivos são brechas de segurança. Malware oculto no tráfego SSL também pode facilmente contornar plataformas de segurança. A Gartner também estima que, até 2017, mais de 50% dos ataques à rede corporativa usarão SSL para contornar a segurança.
Com a descoberta de conjuntos de criptografia mais vulneráveis que produzem ataques como Heartbleed, BEAST, POODLE e outros, os administradores de segurança têm um curto espaço de tempo para corrigir vulnerabilidades. Ter que gerenciar centenas ou milhares de servidores de fronting SSL levaria semanas para consertar, enquanto eles permaneceriam suscetíveis a ataques de fontes maliciosas.
Torna-se uma questão de saber qual tráfego descriptografar. Se uma empresa estiver fornecendo conteúdo para usuários externamente, ela precisará usar um dispositivo para descarregar o tráfego SSL do servidor e, em seguida, inserir proteção no fluxo de tráfego. Isso quebrará o SSL, mas de uma forma inteligente: você não quer descriptografar uma sessão bancária, mas quer descriptografar uma sessão do Facebook. A segurança precisa ter inteligência para entender para onde o tráfego está indo e então tomar uma decisão sobre se ele deve ser descriptografado ou deixado como está.
Embora o SSL ajude tecnicamente os usuários a obter segurança de ponto a ponto, ele não necessariamente protege todo o tráfego. O SSL pode ser interceptado ocultando malware no tráfego criptografado sem falsificar um certificado SSL. Portanto, o foco principal da TI é inspecionar os golpes em tempo real e mitigá-los imediatamente.
A arquitetura de proxy completa do F5 permite conversão e descriptografia perfeitamente, ao mesmo tempo em que implementa conexões separadas para comunicações internas e externas. A capacidade de encerrar sessões SSL também facilita para a TI usar criptografia para tráfego externo e utilizar o antigo HTTP se necessário. Todas as conexões serão possíveis e a TI não precisará interromper e substituir toda a infraestrutura do aplicativo web para aproveitar os benefícios do HTTP/2.0.
Mantenha o desempenho ao gerenciar a configuração TLS
Com a adoção de comprimentos de chave mais fortes, de 1024 bits para 2048 bits, os requisitos computacionais aumentaram exponencialmente de quatro para oito vezes em relação ao anterior. Isso diminui o desempenho da infraestrutura existente que precisa lidar com um tamanho de tráfego semelhante. Ter hardware especializado juntamente com um acelerador de hardware aliviará a necessidade de atualizar recursos de CPU em todo o conjunto de servidores.
Com o PCI DSS 3.1 exigindo que as empresas parem de usar SSL e TLS 1.0 até 30 de junho de 2016 em favor de implementações mais recentes de TLS, as empresas precisarão obrigatoriamente que todos os dispositivos tenham um ponto de gerenciamento SSL centralizado que permitirá que os problemas sejam corrigidos em minutos em todo o ambiente.
Referências do documento: