解决 TLS 检查中的 Peter Parker 原则
“能力越大,责任越大。” 这句名言致敬了伏尔泰和丘吉尔,最广为人知的是《蜘蛛侠》漫画,出自彼得·帕克的本叔叔。 当然,这句话之所以具有文化流行度,部分原因在于它可以应用于许多情况和主题,包括(正如标题所示)TLS 检查。
近日,美国国家安全局(NSA)发布了一份咨询报告,旨在应对部署传输层安全检查(TLSI)可能带来的风险。 NSA 的建议还为部署和使用 TLSI 产品的组织提供了缓解潜在安全漏洞的方法。
关于TLSI的快速入门: TLSI(也称为 TLS 破解和检查)是一种使组织能够解密和重新加密使用 TLS 甚至安全套接字层 (SSL) 加密的网络流量的过程。 由于当今大多数攻击都隐藏在加密流量中,因此 TLSI 对于组织而言至关重要。 例如,根据最新研究,超过 90% 的页面加载现在都使用 SSL/TLS 加密,71% 的网络钓鱼网站利用加密证书。
当今,许多组织都在使用专用设备,例如代理设备、防火墙、入侵检测系统 (IDS) 或入侵防御系统(IPS) 来解密和重新加密使用 TLS 加密的流量。 其他人仍通过其安全堆栈中的菊花链设备运行 TLS 加密流量,强制通过每个安全设备进行解密和重新加密。 整个 TLSI 过程可帮助组织监控传入加密流量中的潜在威胁(例如恶意软件)。 它还允许组织监控出站加密流量,以防数据泄露以及与恶意服务器的主动命令与控制 (C2) 通信,准备下载其他攻击手段。
但根据美国国家安全局的建议,TLSI 的部署和使用方法以及部署方式也可能给组织带来严重风险。
美国国家安全局在其咨询报告中还建议,仅在组织的网络内中断和检查一次 TLS 流量。 该咨询报告明确指出,不应通过转发代理设备解密、检查和重新加密 TLS 流量,然后将流量发送到另一个转发代理设备执行相同的操作。 此举不仅没有带来任何额外的好处,反而增加了风险。
如果组织部署或使用未正确验证 TLS 证书的 TLSI 产品,则 TLS 加密可能会被削弱,从而为发起中间人 (MiTM) 攻击留下机会。
用于 TLSI 的不当操作正向代理设备可能会导致解密流量被重新路由到未经授权的第三方设备,并导致敏感数据被盗或滥用。
根据美国国家安全局的建议,监控流向正向代理的网络流量有助于减轻任何潜在的攻击。 此外,为确保 TLSI 正常运行,该咨询建议对日志进行分析,以检测错误路由的流量,并有助于检测管理员的滥用或误用(无论是有意还是无意的)。
此外,TLSI 产品可能需要链接 TLS 连接,这可能会导致加密保护降级,并导致较弱的密码套件或 TLS 版本被利用。 一些 TLSI 产品可能仅例外地允许较弱的 TLS 版本和密码套件。
大多数 TLSI 正向代理设备都包含自己的内部证书颁发机构 (CA) 来创建和签署新证书。 但是,内置 CA 可用于签署恶意代码,绕过 IDS 和 IPS 等安全机制,或用于部署模仿真实服务的恶意服务。 NSA 的建议是,组织选择能够正确实施数据流、TLS 和 CA 的产品。
另一个攻击面可能是 TLSI 设备在流量发送到安全设备之前解密流量的地方。 流量是纯文本的,容易受到攻击,攻击者可能会窃取用户凭证和其他敏感数据。
F5 SSL Orchestrator确保加密流量被解密、通过适当的安全控制进行检查并重新加密,从而提供加密流量的可见性并降低隐藏的威胁风险。 SSL Orchestrator 还可最大限度地提高现有安全投资的有效性,通过策略动态链接安全服务并引导解密流量,将基于上下文的智能应用于加密流量。 此外,SSL Orchestrator 集中管理和分发组织整个安全基础设施中的最新加密技术,集中证书和密钥管理,同时提供强大的密码管理和控制。 SSL Orchestrator 独立监控每个安全服务的健康状况。 它还确保安全解决方案以最佳效率运行,并可通过 F5 的负载均衡和扩展功能实现高可用性扩展。 此外,它还支持最严格、最强大的政府和行业安全和隐私标准。
NSA 建议背后的重点是做好 TLS 解密和检查,并且只做一次。 虽然看起来下一代防火墙 (NGFW) 这样的一体化解决方案在技术上可以解决这一概念,但实际上,当尝试解决所有类型的加密流量和吞吐量要求时,它是相当不切实际的。 真正需要的——也是一次性做好 TLS 解密和检查的最佳方法——是一套密切监控、安全连接的多供应商产品,配置解密/检查/重新加密一次解决方案,这将被证明更灵活、更有弹性、更实用。
借助 F5 SSL Orchestrator,组织无需链接正向代理设备。 不需要进行独立的流量监控,甚至不需要添加设备监控。 由于它是全代理架构,因此使用最安全的密码套件或加密方法。 换句话说,SSL Orchestrator 减轻了 NSA 咨询中提出的所有风险,同时还帮助组织符合责任和权力之间既定的联系。