F5“SSL Everywhere”架构以定制的 SSL/TLS 堆栈为中心,该堆栈是每个 F5 BIG-IP 部署的一部分。 这使得 F5 在 HTTP/2.0 时代拥有对 SSL/TLS 流量的可见性和控制力。
为什么 SSL/TLS 流量的可见性和控制如此重要? 仅仅十年前,SSL 还仅供金融机构和一些特定组织(如公共部门机构)使用,用于注重安全的网站和服务的登录页面。 如今,这项技术已扩展到大多数基于网络的服务,并迅速成为事实上的通信协议。 根据 Gartner 的行业研究,到 2015 年底,全球超过 50% 的互联网流量将被加密。
如今,TLS 为企业处理 IT 网络提供了一种范式转变,因为它通过网络服务器提供通信安全。 客户端和服务器之间的连接是私密的,因为使用对称加密来加密传输的数据。
HTTP/2.0 中 SSL/TLS 流量的可见性和控制
随着加密流量的使用日益增多,依赖防火墙、入侵保护系统和入侵检测系统的传统方法已经变得过时,因为这些设备在不知道通过它的数据流的情况下会变得措手不及。
解决这个问题的方法是在安全边界进行初始 SSL 解密。 然而,业内大多数在安全边界工作的解决方案并不是为“SSL 解密”这一特定目的而设计或开发的。 尽管有些人可能具有解密能力,但他们却无法充分解密。 许多企业在启用 SSL 解密时也经历了明显的性能下降。 这引发了一项探索,即他们应该如何设计他们的边界以优化 SSL 流量的处理。 显然,为了最大限度地发挥第 7 层安全设备的功效,SSL 解密必须在安全边界附近执行。 一旦入站 SSL 被解密,就可以分析、修改和引导生成的请求。
SSL 密码
网络犯罪分子经常使用 SSL 来绕过安全设备进行攻击,因为他们知道这些设备存在安全漏洞。 隐藏在 SSL 流量中的恶意软件也可以轻松绕过安全平台。 Gartner 还估计,到 2017 年,超过 50% 的企业网络攻击将使用 SSL 来绕过安全保护。
随着发现更多易受攻击的密码套件,这些密码套件会引发 Heartbleed、BEAST、POODLE 等攻击,安全管理员只有很短的时间来修复漏洞。 必须管理数百或数千个 SSL 前端服务器,需要数周时间才能修复,而且它们仍然容易受到恶意来源的攻击。
问题变成了知道要解密什么流量。 如果企业向外部用户提供内容,则需要使用设备从服务器卸载 SSL 流量,然后在流量中插入保护。 这会破坏 SSL,但是以一种智能的方式 - 您不想解密银行会话,但您想解密 Facebook 会话。 安全性需要具备智能,能够了解流量去向,然后决定是否应该解密或保持原样。
虽然 SSL 在技术上支持用户实现点对点的安全性,但它并不一定能确保整个流量的安全。 无需伪造 SSL 证书,即可通过在加密流量中隐藏恶意软件来拦截 SSL。 因此,IT 的主要重点是实时检查诈骗行为并立即采取措施。
F5 的完整代理架构可实现无缝转换和解密,同时实现内部和外部通信的分离连接。 终止 SSL 会话的能力还使得 IT 部门能够更轻松地对外部流量进行加密,并在需要时利用旧的 HTTP。 所有连接都将成为可能,并且 IT 不必破坏和替换整个 Web应用基础设施即可享受 HTTP/2.0 的好处。
管理 TLS 配置的同时保持性能
随着更强的密钥长度的采用,从 1024 位到 2048 位,计算要求呈指数增长,从以前的四倍增加到八倍。 这会降低必须处理类似流量规模的现有基础设施的性能。 拥有专用硬件和硬件加速器将减轻升级整个服务器场 CPU 资源的需要。
PCI DSS 3.1 要求公司在 2016 年 6 月 30 日之前停止使用 SSL 和 TLS 1.0,转而采用更新的 TLS 实施,因此公司需要遵守所有设备都具有集中 SSL 管理点的规定,以便在几分钟内纠正整个环境中的问题。
文档参考: