SSL 解密

SSL（安全套接字层）及其现代版、更安全的继任者 TLS（传输层安全）均是一种协议，用于加密 Web 流量。对传输中的数据进行加密是一种标准做法，现在大约 90% 的网页都会加密。此举有助于防止数据泄露，然而网络犯罪分子会利用这些加密通道传播恶意软件和泄漏数据。因为他们深知传统的安全检查不解密流量，自己可以绕过此类解决方案。

下一代防火墙 (NGFW)、数据丢失防护 (DLP) 系统、入侵检测/防御系统 (IDS/IPS)、Web 网关等安全检查工具在发现流量中的威胁方面表现非常出色，但是它们在实施检查前无法有效解密流量。由此一来，安全检查工具会对加密威胁视而不见，并允许恶意软件或知识产权数据在未经检查或不受阻止的情况下自由流动。SSL 解密，又称 SSL 可见性，指对流量进行大规模解密，并将其路由到各种检查工具的过程。这些工具可以识别对应用的入站威胁，以及用户到互联网的出站威胁。

网络流量使用 SSL/TLS 加密的情况急剧增加，其原因包括：

• 易于获得的优惠或免费证书：Let's Encrypt 是一家免费、自动和开放的证书颁发机构 (CA)。对于一直以来为成本所困的小型网站运营商，以及想要在其应用中自动配置证书的网站或应用开发人员而言，Let's Encrypt 为他们开辟了一条捷径。但随之而来的问题是，犯罪分子也可以轻松获得同样的证书，为他们的虚假网站完成合法包装，继而利用这些网站发动网络钓鱼攻击、中间人攻击、DNS 缓存中毒攻击和其他攻击。
• Google Chrome 浏览器警告：自 2018 年 7 月起，未使用 SSL/TLS 加密的网站将被自动标记为不安全。
• Google 搜索结果排名：Google 为使用 SSL/TLS 加密的网站提供更高的搜索结果排名。
• 用户隐私意识增强：新闻中大量的数据泄露事件增加了公众对数据和用户隐私的关注。欧盟的 GDPR、加州最新的《消费者隐私法》等法律法规也促使组织实施 SSL/TLS 加密。

除了隐藏在加密中的威胁外，在设计或维护流量检查架构时，您还需要注意其他挑战。这些挑战包括：

• 复杂性增加：许多公司会使用多种安全检查工具来发现和拦截不同类型的威胁。这些工具中有的不能解密流量，有的则无法大规模解密。结果导致检查架构变得不可预测，从设备到设备的流量有效路由也更加复杂。与此同时，检测工具的故障有可能带来流量延迟或死角；而拥有多个解密点和加密点会让单个设备上的简单更改复杂化，因为哪怕只是一个变动，也会牵一发而动全身，影响整个检测链。
• 影响性能：解密和重新加密流量是计算密集型操作，会对检查设备造成性能影响。这往往导致只有一些流量会被检查是否存在威胁，而超过工具计算极限的流量则会不经检查就通过。
• 现代密码学：如果没有一个集中的解密和加密方法，在需要作出更改时，使用标准密码的管理活动将举步维艰。此外，组织在大多数情况下倾向于采用完全前向保密密码，而加密密钥无法直接与带外检查设备共享以执行被动检查。
• 隐私法规：缺乏基于政策的自定义流量分类意味着对所有流量解密，而这可能会侵犯用户的隐私。虽然解密流量对于发现恶意软件和其他威胁必不可少，但这种可见性需要权衡得当，否则对用户银行或医疗信息无所不知将违反法律或法规。

将基于策略的解密和流量引导应用于入站和出站流量后，您可以获得对加密流量的可见性，以及整个检测工具栈带来的更高效率和更大的灵活性。

获取提供集中管理的 SSL/TLS 解决方案后，您可以简化选择和更新密码套件的过程，有助于通过 SSL/TLS 确保网络连接安全。这将推动您的流量检测安全工具释放更佳性能，同时允许您更灵活地管理端到端加密中使用的密码。