博客

SSL/TLS: 可见性还不够,你需要协调

F5 缩略图
F5
2018 年 7 月 25 日发布

F5 Networks SSL Orchestrator 4.0 版的发布解决了过去五年来最棘手的安全问题之一:加密用户流量的可见性。 安全预算已投资了数十亿美元用于高大上的安全控制,这些控制在沙盒、深度包检测和人工智能非常出色,但在加密方面却显得盲目。 情况非常危急,因为根据F5 实验室 2017 年 TLS 遥测报告,加密用户流量的百分比自 2014 年以来增加了一倍多,超过了 80%。 因此,当然,现在有 SSL 可见性解决方案提供解密服务,允许那些安全控制查看它们正在做什么。

但仅有可见性还不够。 安全团队和网络运营发现,建立解密区并不容易。 非常不容易。 安全团队通常必须采用手动菊花链或繁琐的配置来管理整个安全堆栈的解密/加密。 然后他们发现有很多例外。 基本上,这一直是一件让人头疼的事。*检查笔记*。

进入 F5 SSL Orchestrator 4.0 版本,它确实提供了可见性,但却通过编排功能与其他产品区分开来。 编排根据风险和动态网络条件为服务链提供基于策略的流量引导

作为 SSL/TLSHTTP 的完整代理,SSL Orchestrator 可以做出智能决策,将入站和出站流量引导至安全堆栈内的服务链。 没有其他解决方案可以做到这一点。

如果您忽略了阅读后面的内容,那么关键点在于,无论您的入站和出站加密要求有多复杂,SSL Orchestrator 都可以让您价值数百万美元的检查硬件恢复可见性。

图 1 – 图表有助于使博客文章在视觉上更有趣

更加动态的服务链

F5 在早期版本的 SSL Orchestrator 中引入了安全服务链的概念。 不同类型的网络流量应该进行不同类型的检查,对吧? 例如,来自管理工作站的出站流量应该受到最严格的审查,并以未加密的形式通过所有现有的安全控制。 但是,来自业务部门承包商的 VDI 会话可以跳过沙盒和 IPS。

4.0 版本以显著的方式改进了其安全控制插入链、负载均衡和监控方法,例如下面描述的。

可见性变得更加直观!

如果您认为这听起来很复杂或令人困惑,请继续关注我们,因为 SSL Orchestrator 使服务链变得简单! 事实上,Orchestrator 的可视化策略编辑器 (VPE) 允许您将链拖放到您的架构中,以便您实际看到启用流量可见性的方式。

可见性: 不再只适用于 HTTPS

当然,您的大部分流量都是 HTTPS,但如果您是一个较大的组织并且您的工具包中流过各种协议,那么您可能还需要处理一些 FTP(S)、IMAP、POP3 和 ICAP。 而且,由于最近对机会性加密的关注,许多应用都在使用 STARTTLS 来提供这些服务。 您可能会想“这对于 F5 来说太高级了”。 那么,你错了,肯尼,因为 SSL Orchestrator 现在可以检测并正确解密 FTP、IMAP、POP3 和 ICAP 中的 STARTTLS 等机会性加密。

优化 ICAP

我们集成的大多数 ICAP 服务都是防病毒 (AV) 服务。 AV 可能会增加显著的延迟(显然),因此 SSL Orchestrator 进行了一些调整。 您现在可以创建仅通过 ICAP 发送某些类型的请求/响应的策略。 一个常见的例子是仅扫描 POST 请求并绕过其余的有效载荷。 我们并不是说这是推荐的做法,但这是人们想要的,所以我们就把它给了他们。

所有这些和一袋薯片

如果您想了解有关 SSL Orchestrator 4.0 版的更多信息,这里有一些要点(以及下面更多信息的链接)。

4.0 版新增功能

  • 更新了设置实用程序,具有资源配置功能
  • 检查所有流量是否存在恶意软件和数据泄露
  • 灵活的部署模式,可集成到您的整个安全基础设施中
  • 分析和增强日志记录设置和类别
  • 特定流量的 L7应用设置(IMAP、SMTPS、POP3、FTP、HTTP)
  • 具有一流的负载均衡、运行状况监控和 SSL 卸载功能的高可用性


最后,请记住这一点: 您需要扫描您的入站和出站流量以查找未来的威胁,而 SSL Orchestrator 是一种工具,可让您的安全控制使您的组织名称远离(象征性的)文件和那些令人讨厌的 GDPR 罚款。

其他资源