博客

在 AWS 上部署 BIG-IP SSL Orchestrator 可能是您的最佳选择的四个原因

F5 缩略图
F5
2022 年 5 月 11 日发布

当前,全球IT界正经历着多种挑战因素的汇聚。

一个明显的因素是众所周知的全球半导体短缺,这增加了应用程序交付和安全硬件的交货时间。 虽然对 F5 iSeries 设备的需求依然强劲,但对设备的高需求和持续的芯片短缺导致iSeries 设备的交货时间延长(供应链短缺对 F5 rSeries 设备和 VELOS 机箱的影响并不大)。

第二个主要因素是东欧持续的冲突以及网络战争的担忧。 正如 F5 实验室早在 2018 年报告的那样,此类攻击可能针对政府机构、私营部门甚至家庭办公室。

这两个因素极大地导致了这样一种情况:迫切需要新的安全部署,但许多组织无法快速获得解决方案。 尽管如此,我们知道,随着更高级的威胁不断增加,暂停安全措施不是一种选择。

一个突出的例子:勒索软件。 勒索软件威胁日益增加——从2019 年所有数据泄露的 6%上升到 2021 年 F5 实验室研究的所有攻击链的 42% ——其连锁影响不容小觑。 勒索软件可能比任何其他类型的恶意软件都更有可能通过可信供应商传播来损害供应链,导致关键基础设施和数据不可用,并对国内外经济产生负面影响。

为了阻止勒索软件攻击链,关键是实施可视性解决方案,该解决方案可以窥视掩盖单个勒索软件攻击媒介的加密通道。 部署在云中的 BIG-IP SSL Orchestrator 可以帮助您解密这些通道并了解网络中的 SSL/TLS 流量。 它可以将解密的流量协调到您的安全堆栈进行威胁检查,同时绕过因全球芯片短缺和供应链问题导致的长交货时间。

为了帮助您在网络攻击日益增多和全球供应链短缺的情况下满足安全需求,我们与 Amazon Web Services (AWS) 合作,提供可在 AWS 上部署的 BIG-IP SSL Orchestrator 高性能虚拟版。 以下是 AWS 上的 SSLO Orchestrator 可能是您的最佳选择的四个原因: 

1) 您的硬件交付周期比正常情况下更长

由于全球半导体短缺和供应链中断,安全问题太重要了,不能被搁置。 在许多情况下,您的组织可能无法等待数月才能获得部署安全堆栈和保护应用所依赖的硬件。

幸运的是,还有其他选择。 借助高性能 BIG-IP 虚拟版,您可以在 Amazon Web Services 上部署 BIG-IP SSL Orchestrator,从而绕过漫长的供应链交付周期,即使在全球硬件短缺的情况下,您也能够解决组织的安全问题。 在 AWS 上部署 SSL Orchestrator 时,您将享受到我们本地解决方案和 VE 解决方案中相同的功能集;所有形式因素均利用我们的旗舰 BIG-IP 软件并共享一套通用的用例和功能。 借助 AWS,您可以快速启动 BIG-IP SSL Orchestrator,并随着容量需求的增加或安全需求的变化按需扩展。

图 1: 在 AWS 上部署 BIG-IP SSL Orchestrator,以受益于持续的基础设施加速和高灵活性。 (部署此架构需要一组简单的 Terraform 模板,您可以在我们的 DevCentral GitHub 上找到。)

2)您需要快速扩展 SSL/TLS 检查,并希望利用基础设施加速和卸载

在 AWS 上部署 SSL Orchestrator 的优势之一是,您无需担心随着容量需求的增加而扩大网络基础设施。 借助 AWS,您可以在高度可扩展的 AWS 平台上执行流量解密和重新加密。 这将增强您的 SSL 卸载性能,以实现最大的安全性和成本效益。 随着网络中传输的加密流量的增加,您可以根据需要灵活地扩展解密和编排解决方案。

通过在 AWS 上部署 SSL Orchestrator,您的加密威胁和编排解决方案将具有高性能并能够适应不断变化的网络条件和组织需求,同时满足现代安全环境的灵活性和可扩展性要求。

图2: 要在 AWS 上扩展 BIG-IP SSL Orchestrator,只需部署多个 pod 和一个负载均衡器。

3)你需要在第 3 层到第 7 层采取防护措施,防止勒索软件入侵

不幸的是,对于安全专家来说,勒索软件可以通过各种攻击媒介进入网络。 但许多此类攻击媒介都有一个共同点:它们通过加密通道进入。 因此,了解加密流量是建立全面勒索软件防御的一个极其重要的方面。 据估计,目前 90% 的流量都是加密的,攻击者很容易利用加密的隐私特性来逃避网络监控程序的检测。 事实上,F5 实验室报告称, 83% 的网络钓鱼网站使用有效的 TLS 证书。 网络钓鱼、软件和浏览器漏洞 (CVE) 以及驱动下载是勒索软件最常见的入口点 - 所有这些攻击媒介都可能被加密。 因此,监控加密流量是检测进入或穿越网络的勒索软件的关键举措。

借助 BIG-IP SSL Orchestrator,您可以将安全服务链接在一起,利用解决方案的智能分类指标根据流量和网络状况以及您的安全需求创建有针对性的、合适的安全服务链。

4)您需要灵活的购买选择

“灵活性”是部署在 AWS 上的 BIG-IP SSL Orchestrator 的关键。 灵活地使用您选择的型号和许可的高性能 VE 的 SSL Orchestrator,同时利用 SSL Orchestrator 和 AWS 的综合功能降低您的安全总体拥有成本和基础设施占用空间。 由于解密 SSL/TLS 流量的容量要求,强烈建议您将 SSL Orchestrator 许可为高性能 VE。 不建议对 SSL Orchestrator 使用吞吐量许可的 VE,因为以这种方式许可软件可能会导致 SSL Orchestrator 出现性能问题。 利用高性能 BIG-IP VE 在 AWS 上部署 SSL Orchestrator。 这些不受吞吐量限制的不受限制的虚拟版实例仅受可为实例提供支持的 vCPU 数量的限制。

使用 AWS,您只需使用支持 SSL Orchestrator 所需的资源和基础设施,从而最大限度地提高您的安全投资。

放心吧,让 BIG-IP SSL Orchestrator 作为 AWS 上的高性能虚拟版来缓解您的半导体短缺和供应链引起的担忧,保护您的应用和数据免受勒索软件和其他恶意软件以及命令和控制服务器外展和数据泄露的侵害。

更多信息

要了解有关在 AWS 上部署 SSL Orchestrator 是否适合您的更多信息,请查看我们的联合解决方案概述AWS Marketplace 列表。 如果对解决方案有疑问,请联系sales.f5.com

准备好部署了吗? 查看我们的Terraform 模板集和部署文档,以帮助您入门。