第三部分
SSL/TLS 流量的增长迫使组织寻找解决方案,使其网络和应用能够满足广泛加密日益增长的需求。
。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。
。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。
。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。
不采取任何行动只会酿成灾难
许多组织没有能力利用现有的安全堆栈检测隐藏在加密流量中的恶意软件。 然而,随着攻击者越来越多地将恶意代码隐藏在安全设备无法看到的流量中,不采取任何措施只会酿成灾难。 这也浪费了检查工具所花费的金钱以及维护这些工具所花费的精力。 从表面上看,似乎有几种选择——但只有其中一种是真正有效的。
01 | 解密一切?
在用户隐私成为热门话题之前,许多组织在其入口点终止 SSL/TLS,并让一切在其数据中心内以明文自由流动。
现在,GDPR 和其他法规已经生效,并且由于备受瞩目的违规和滥用,隐私问题成为新闻焦点,这不再是一个可行的选择。 根据您收集的数据类型及其相应的管辖范围,您可能会受到各种隐私法律和法规的约束。
02 | 设置解密区域
一些安全团队设置了一个解密区(空气间隙),他们在其中解密入站和/或出站流量,然后将其通过菊花链的安全检查工具进行重新加密。
该解决方案至少可以揭示隐藏的恶意软件,但它增加了路由复杂性并使改变架构变得更加困难。 此外,当在线安全设备出现故障时,可能会发生灾难性的停电。
03 | 编排
编排是最有效的选择。 通过对入站和出站流量应用基于策略的解密和流量控制,您可以像大师一样指挥安全设备的编排。
高性能 SSL/TLS 编排解决方案可提高可见性并保护您的应用程序,同时提高安全堆栈的安全性、效率和弹性。 只有一个 SSL 解密和重新加密操作,因此您可以自动消除菊花链方法的延迟。
这一过程非常关键,因此美国国家安全局发布了一份题为“管理传输层安全检查风险”的咨询报告。 该建议指出,为了尽量减少风险,破坏和检查 TLS 流量应仅在企业网络内进行一次。 该咨询报告还强烈建议不要使用冗余 TLSI,即客户端-服务器流量由一个转发代理解密、检查和重新加密,然后转发到第二个转发代理进行更多相同的操作。
通过协调您的 SSL/TLS 流量,您可以最大限度地提高安全解决方案的效率,同时优化关键应用的性能。
通过 SSL 可见性查看加密威胁
安全检查工具对 SSL/TLS 流量越来越视而不见。 虽然一些安全解决方案包含本机解密功能,但大规模执行解密和加密并不是它们的核心目的或重点。 如果没有这个,加密流量必须经过整个安全堆栈中重复解密/检查/重新加密过程的静态菊花链。
这个过程会消耗宝贵的时间和资源、增加延迟并破坏用户体验。 此外,它很容易导致超额认购,这意味着超大规模安全服务的成本增加。
F5 SSL Orchestrator 具有完整的代理架构和动态服务链,为您处理环境中的恶意软件的方式带来了真正的范式转变。 利用 SSL 可见性防范加密威胁。
准备好阻止加密恶意软件了吗?
由于 SSL Orchestrator 可作为 SSL/TLS 和 HTTP 的完整代理,因此无论您的入站和出站加密要求有多复杂,它都可以做出智能决策,将入站和出站流量引导至安全堆栈内的服务链。
了解 SSL Orchestrator 如何提供对加密入站应用流量的可见性 - 包括它如何动态链接安全服务并应用基于上下文的流量控制。
与 F5 安全专家交流
有安全疑问、问题或其他想要讨论的内容吗? 我们很高兴收到您的来信!
我们将确保在一个工作日内通过电子邮件与您联系。