為何我們要檢查SSL流量?

責(zé)任編輯:editor005

作者:Jeff Harris

2016-04-15 14:46:11

摘自:TechTarget中國(guó)

這將充分釋放安全性和網(wǎng)絡(luò)架構(gòu)的潛力,同時(shí)為IT和安全團(tuán)隊(duì)提供所有加密和未加密網(wǎng)絡(luò)流量的全面可視性。SSL加密在打擊非法信息竊取和黑客攻擊,保護(hù)敏感數(shù)據(jù),幫助企業(yè)達(dá)到合規(guī)性要求方面起著至關(guān)重要的作用。

數(shù)據(jù)流量加密是否有利于網(wǎng)絡(luò)安全?某種程度上來(lái)說(shuō),的確如此。然而美好的事物往往都是魚(yú)和熊掌不可兼得,為提高安全性而犧牲應(yīng)用性能是我們需要避免的事情。

大多數(shù)企業(yè)機(jī)構(gòu)的SSL流量平均已占網(wǎng)絡(luò)總流量的15%至25%,在垂直細(xì)分市場(chǎng)中的此類(lèi)流量更高。行業(yè)規(guī)范諸如支付卡行業(yè)安全標(biāo)準(zhǔn)以及HIPAA法案均要求各企業(yè)在數(shù)據(jù)傳輸中對(duì)敏感數(shù)據(jù)進(jìn)行加密(例如:銀行往來(lái)數(shù)據(jù)、商戶或醫(yī)療行業(yè)相關(guān)網(wǎng)站等)。重要企業(yè)應(yīng)用程序如Microsoft Exchange、Salesforce.com、Dropbox也針對(duì)LinkedIn、Twitter、Facebook等超人氣網(wǎng)站啟用SSL,以達(dá)到隱私保護(hù)要求。

加密有利于保護(hù)數(shù)據(jù),但它同樣可以保護(hù)潛在的攻擊者。復(fù)雜的惡意軟件以及難以察覺(jué)但有很大危害的潛在攻擊信息往往隱藏在SSL加密流量中。然而數(shù)據(jù)流的加密使得IT團(tuán)隊(duì)的安全監(jiān)控、應(yīng)用監(jiān)控、安全分析,甚至資源規(guī)劃變得更加困難,因?yàn)樗麄儾坏貌煌ㄟ^(guò)解密與檢查所有數(shù)據(jù)尋找異常情況。

暗伏的危機(jī)

SSL加密數(shù)據(jù)中還可能隱藏著什么?企業(yè)需要了解兩大風(fēng)險(xiǎn):有形威脅以及更加微妙的威脅信號(hào)。

這種“威脅”通常是指惡意軟件,即經(jīng)過(guò)加密處理偽裝成良性SSL流量的惡意代碼。威脅信號(hào)則表明惡意方正在窺探或掃描網(wǎng)絡(luò),試圖尋找攻擊弱點(diǎn),它們是潛在黑客或網(wǎng)絡(luò)入侵的明證。識(shí)別和應(yīng)對(duì)這兩類(lèi)威脅是IT團(tuán)隊(duì)的主要任務(wù)之一,然而日益激增的SSL流量使得這些任務(wù)耗時(shí)更長(zhǎng)并且需要特殊的分析工具。

性能是關(guān)鍵

當(dāng)然,企業(yè)的下一代防火墻和應(yīng)用監(jiān)測(cè)工具可應(yīng)對(duì)這些威脅。防火墻能夠解密和掃描SSL數(shù)據(jù),并且根據(jù)安全策略檢查是否存在惡意軟件或防止入侵企圖。

但是,此類(lèi)功能也有附加條件。由于IT團(tuán)隊(duì)在防火墻上啟動(dòng)了更多功能,如:病毒防護(hù)、防僵尸、IPS、URL過(guò)濾和應(yīng)用控制,整套安全工具的計(jì)算時(shí)間也越來(lái)越長(zhǎng),存在安全套件成為瓶頸的風(fēng)險(xiǎn),因而限制網(wǎng)絡(luò)發(fā)展,或必須對(duì)安全套件進(jìn)行全面升級(jí),以滿足必要的性能需求。

企業(yè)戰(zhàn)略集團(tuán)(Enterprise Strategy Group)2015的研究顯示,24%的企業(yè)網(wǎng)絡(luò)團(tuán)隊(duì)對(duì)可能會(huì)破壞關(guān)鍵流量或有損業(yè)績(jī)的技術(shù)表示不太了解。然而,除了正常功能,采用安全網(wǎng)關(guān)解密SSL流量的固有處理開(kāi)銷(xiāo)通常會(huì)對(duì)性能產(chǎn)生顯著影響,當(dāng)業(yè)務(wù)和數(shù)據(jù)量都在增長(zhǎng)的情況下尤其如此。網(wǎng)絡(luò)安全檢測(cè)機(jī)構(gòu)NSS Lab 2013年針對(duì)7個(gè)下一代防火墻測(cè)試的調(diào)查發(fā)現(xiàn),在使用基本512B和1024B密碼時(shí),該設(shè)備的平均性能損失高達(dá)74%。

狀態(tài)檢測(cè)

那么我們?nèi)绾尾拍芟蚣用芑蛟黾涌梢曅远a(chǎn)生的安全盲點(diǎn)?又是如何在無(wú)損整體網(wǎng)絡(luò)性能的前提下洞察隱蔽流量中潛伏的危機(jī)?首先,企業(yè)必須全面且清晰地訪問(wèn)其物理、虛擬和混合云環(huán)境下的所有流量。為此,通常需要使用全狀態(tài)SSL解密,拓展安全團(tuán)隊(duì)探察業(yè)務(wù)和網(wǎng)絡(luò)應(yīng)用程序加密流量的能力,以發(fā)現(xiàn)隱藏的異常,如:網(wǎng)絡(luò)偵察、入侵或惡意軟件。

全狀態(tài)SSL解密可提供完整的會(huì)話信息,幫助IT團(tuán)隊(duì)更好地理解處理全進(jìn)程和可能發(fā)動(dòng)的攻擊,這與單純提供原始數(shù)據(jù)包的無(wú)狀態(tài)解密截然不同。

其次,全狀態(tài)SSL解密應(yīng)在專(zhuān)用平臺(tái)上完成,如:網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)(network packet broker),以便卸載來(lái)自防火墻、安全網(wǎng)關(guān)和應(yīng)用程序監(jiān)視工具的額外處理負(fù)擔(dān)。通過(guò)減少工作負(fù)載,使其更好地識(shí)別并有針對(duì)性地應(yīng)對(duì)攻擊,這有助于最大限度地發(fā)揮防病毒、沙箱和IPS等工具及其運(yùn)行應(yīng)用程序的性能和容量。將網(wǎng)絡(luò)數(shù)據(jù)包代理程序植入精心搭建的架構(gòu)旁路框架可實(shí)現(xiàn)網(wǎng)絡(luò)可用性和可靠性最大化。這將充分釋放安全性和網(wǎng)絡(luò)架構(gòu)的潛力,同時(shí)為IT和安全團(tuán)隊(duì)提供所有加密和未加密網(wǎng)絡(luò)流量的全面可視性。

SSL加密在打擊非法信息竊取和黑客攻擊,保護(hù)敏感數(shù)據(jù),幫助企業(yè)達(dá)到合規(guī)性要求方面起著至關(guān)重要的作用。但它同時(shí)也可能隱瞞安全威脅,限制網(wǎng)絡(luò)團(tuán)隊(duì)檢查、調(diào)整和優(yōu)化應(yīng)用性能的能力。企業(yè)為客戶的流量保駕護(hù)航非常重要,然而消除加密盲點(diǎn)并獲得洞察網(wǎng)絡(luò)和關(guān)鍵任務(wù)應(yīng)用程序的全面可視性也同樣不容忽視,部署合適架構(gòu)則是實(shí)現(xiàn)一石二鳥(niǎo)的良方。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)