超越高级威胁防护

由于高级持续性威胁 (APT) 占据了恶意软件领域的主导地位，基于签名的检测不再能为这种快速发展的威胁环境提供足够的安全性。 基于签名的检测依赖于供应商向其平台提供签名更新。 不幸的是，当今的许多威胁都是针对特定组织进行渗透，使用一次，然后重新包装和修改以逃避检测。

与有限的入侵检测和预防解决方案相比，高级威胁防护 (ATP) 系统会在可疑对象跨越网络之前捕获并执行它们，确保检查的流量不会对端点构成危险。 ATP 系统还可以阻止前所未有的威胁，例如零日攻击。

由于 ATP 系统在阻止恶意软件方面非常有效，因此正在部署更多的此类系统来保护越来越多的出入口流量。 然而，随着 ATP 系统部署的不断增加，我们发现可以通过使用互补技术进一步加强 ATP 系统的三个方面，从而提高其有效性： SSL/TLS 协助、高可用性和流量控制。 本文探讨了 F5 和 FireEye 解决方案如何协同工作以在这三个领域提供增强的性能和更好的结果。

多种趋势推动着对改进 SSL/TLS 检查的需求，包括 SSL/TLS 的使用日益增多、加密协议的复杂性日益增加（例如密钥长度越来越长），以及“坏人”对恶意负载进行加密以使其无法被检测到的趋势。 这些趋势给现有的 ATP 系统带来了越来越大的负担，也是推动 F5® SSL Orchestrator™ 开发的因素，该解决方案提供入站和出站 SSL/TLS 流量的高性能解密和重新加密、动态服务链和基于策略的流量控制，可智能管理整个安全链中的加密流量，从而使 ATP 系统能够专注于检测恶意对象。

F5 SSL Orchestrator 为您的威胁检测和缓解系统带来了更大的灵活性，并极大地提高了您无中断扩展的能力。 与任何解决方案一样，ATP 系统及其关键传感器也有可能出现故障，而这种故障很容易导致交通阻塞。 F5 SSL Orchestrator 有助于确保关键站点即使在出现传感器或设备故障的情况下也能满足其可用性和正常运行时间目标。 F5 SSL Orchestrator 可智能地平衡多个 ATP 系统之间的流量，以确保即使发生传感器故障或过载，站点仍然可用。 此外，此配置还允许管理员添加或删除传感器，而不会影响整个站点的可用性。

图 1 描述了全面的 F5 SSL Orchestration 和 FireEye 解决方案，充分利用组合技术的全部功能来提供弹性的可扩展性和服务链。

F5 SSL Orchestrator 与 Web 流量内联部署：

1.     解密 SSL 流量以传送至 FireEye 网络安全池。

2.     加密通过 FireEye 网络安全设备的 SSL 流量。

3.     在 FireEye 池上执行负载均衡，提供最佳可用性。

4.     当所有成员都关闭时启用池旁路。

5.     确定是否应解密流量或是否能够在不解密的情况下绕过 FireEye 池，从而减少设备负载。

这种架构使 FireEye 设备能够最高效地运行，充分发挥其功能，同时又不影响流量吞吐量。 密钥管理集中在 F5 SSL Orchestrator 中，使得 FireEye 池无需执行任何 SSL 功能，同时仍为其提供完整的流量可见性。

F5 SSL Orchestrator 的动态服务链和基于策略的流量控制使您能够以最佳可用性智能地管理整个安全链中的加密流量。 流量引导允许确定不需要解密的流量（例如 VDI）绕过 ATP 池，从而增加池的有效容量。 这种配置还能在 FireEye 传感器速度减慢或出现故障时实现连续的交通流动。 通过这种方式，该架构可以最大限度地保护流量——揭露威胁并阻止攻击，同时提高效率并消除性能瓶颈。

当今严峻的安全挑战既需要先进的威胁防护，也需要确保应用可用性的能力。 F5 和 FireEye 正在合作提供解决方案，提供最有效的技术、情报和专业知识，以便在恶意活动发生之前识别和阻止它。 F5 和 FireEye 解决方案使您能够通过增强的 SSL 可视性发现隐藏的威胁，通过动态服务链和基于策略的流量控制确保最佳安全性和性能，以更高的可扩展性提供高级威胁防护，并通过增强的架构提高运营效率。

要了解 F5 和 FireEye 如何帮助您的企业取得成功，请访问f5.com/fireeye 。