客户端(电脑、平板电脑、手机等)和服务器之间传输转移的数据主要是通过安全套接层 (SSL) 或更现代、更安全的传输层安全 (TLS) 进行加密。(可参考 F5 Labs 的《2019 年 TLS 遥测报告汇总》)。如今得到广泛使用的加密技术意味着除非流量被解密,否则威胁将一直处于隐身状态,安全检查也无法使其现身。
不同的安全设备(如 Palo Alto Networks 下一代防火墙 (NGFW))对数据的解密和加密可能会增加开销和延迟。除了 SSL/TLS 的可视化难题和安全堆栈的碎片化性质之外,企业发现设计一款可长久使用的综合安全策略绝非易事。
该系统参考架构涵盖了跨网络拓扑构建 F5® SSL Orchestrator® 和 Palo Alto Networks 下一代防火墙 (NGFW) 的不同方式;同时还涉及可视化、隐私和法规遵守等难点。
F5 SSL Orchestrator 位于 IT 基础设施和互联网之间,创建了一个可供检查的解密区域。在解密区域内,Palo Alto Networks NGFW 等安全设备可以访问数据,以检测和缓解恶意软件等隐藏威胁。
F5 先进的 SSL/TLS 解密技术、强大的密码支持和灵活的架构可以帮助您优化资源的使用,消除延迟,并为安全检测基础设施增加弹性。由于所有通信都是通过 SSL Orchestrator 进行,因此它还可以作为一个战略控制点,可在此处执行解决操作风险(性能、可用性和安全性)的策略。
SSL Orchestrator 为入站(从互联网用户到 Web 应用)和出站(从企业用户到互联网)SSL/TLS 流量提供高性能解密。如图 1 所示,出站流量经过解密后,会发送到 Palo Alto Networks NGFW 进行检查和检测。
图 1:出站流量经过解密后发送到 Palo Alto Networks NGFW。
不同的环境需要不同的架构。SSL Orchestrator 提供了不同的外形尺寸,以满足不同的架构需求。
外形尺寸 |
容量选择 |
SSL Orchestrator iSeries 平台 |
高性能 SSL Orchestrator iSeries 硬件经过优化,可以提供 1 GB、5 GB、10 GB 和 20 GB 的解密吞吐量,是区域和中央企业站点的理想选择。 |
F5® BIG-IP® Virtual Edition |
高性能 SSL Orchestrator Virtual Edition 可用于增强 SSL 解密架构,以纳入更小型的办公站点。 |
F5® VIPRION® 平台(机箱) |
高端的 VIPRION 平台可以提供超过 100GB 的解密吞吐量,能够聚合和管理不断增加的网络流量。模块化设计和集群功能使 VIPRION 能够随着网络需求的变化而实现轻松扩展。 |
一个典型的安全堆栈通常由多个系统组成,如下 NGFW、入侵检测或防护系统 (IDS/IPS)、数据丢失预防和恶意软件分析工具。所有这些系统都需要访问解密数据才能进行检查。SSL Orchestrator 可以轻松与现有安全架构集成,并将 SSL/TLS 解密集中到安全堆栈中的多个检查设备。这种“一次解密,控制多个检测设备”的设计解决了若各单一安全设备都执行解密可能会出现的延迟、复杂性和风险问题。您还可以使用上下文引擎为不同的流量创建多个服务链。
图 2:一次解密,控制多个检测设备(使用动态服务链)。
SSL Orchestrator 系统中的服务被定义为相同的安全设备池。例如,Palo Alto 服务将包括一个或多个 Palo Alto Networks NGFW。默认情况下,SSL Orchestrator 会对服务中所有防火墙的流量进行负载均衡。
健康监控
SSL Orchestrator 可以提供各种监控程序,用于检查服务中安全设备的健康状况,并即时处理任何故障。例如,在 Palo Alto 服务中,如果一个 NGFW 发生故障,SSL Orchestrator 系统将自动把负载转移到启用的 NGFW。如果服务中的所有防火墙都发生故障,SSL Orchestrator 将旁路服务,以保持网络的连续性并最大限度地延长正常运行时间。
SSL Orchestrator 的上下文引擎能够提供根据使用分类标准、URL 类别、IP 信誉和流量信息做出的策略决策来智能引导流量。您还可以使用上下文引擎将解密旁路至应用和网站(如金融、政府服务、医疗保健和其他类似的应用和网站),以实现法律或隐私目的。
图 3:提供服务链和基于策略的流量引导的上下文引擎。
SSL Orchestrator 支持启用-待机 HA 架构:一个系统主动处理流量,而另一个系统在需要使用前一直保持待机模式。这种做法的目的是减少任何停机时间,消除单点故障。配置和用户连接信息会在系统之间自动同步。
SSL Orchestrator 可与旁路开关集成,提供故障到连线的保护。如果 SSL Orchestrator 系统断电,流量将会转向旁路,而不会危及网络性能。
SSL Orchestrator 以第 2 层或第 3 层模式进行内联部署,可以配置为显式前向代理、透明前向代理或反向代理。在与 Palo Alto Network NGFW 集成时,SSL Orchestrator 可以通过内联 L2、内联 L3 或只接收 TAP 模式进行连接,引导解密流量(如图 4 所示)。
图 4:SSL Orchestrator 支持的 Palo Alto Networks NGFW 部署拓扑。
图 5 显示了 SSL Orchestrator 如何集成到企业架构中,以对整个检测基础设施的入站和出站流量进行集中解密。
图 5:将 SSL 编排集成到企业网络架构中。
图 6:端口冗余的链路聚合。
SSL 及其继任者 TLS 正变得越来越普遍,以确保互联网上 IP 通信的安全。这种情况可谓利弊相当。好的一面是,此类技术会混淆所有通信以防盗用。但不利的一面则是,攻击者由此可以将恶意软件隐藏在加密的通信中。只要有加密流量传输,那么安全系统就无法予以拦截。而这就破坏了整个分层安全功能的深度防御策略。
SSL Orchestrator 结合 Palo Alto Networks NGFW 等先进的威胁防护系统时,可以解决这些 SSL/TLS 难题,方法便是将解密集中于企业边界内。它可以编排通过整个安全堆栈的解密流量,从而进行检查,以识别和阻止零日漏洞利用。因此,该解决方案可以让您最大限度地利用现有的安全服务投资,用于恶意软件保护和下一代防火墙。
F5 (NASDAQ: FFIV) 为全球大型企业、服务运营商、政府和消费者品牌提供服务,让全球任意地点的客户可以安心提供所有应用服务,确保安全无虞。F5 可以提供云和安全应用服务,使企业能够在保持速度和管控的情况下,充分利用自己选择的基础设施。如需了解更多信息,请访问 f5.com。您还可以在 Twitter 上关注 @f5networks,或在 LinkedIn 和 Facebook 访问我们的主页,了解有关 F5、合作伙伴和技术的详细信息。