支付卡產業標準PCI DSS 3.1要求企業在2016年6月30日以前停止使用SSL和TLS 1.0,改採較新的TLS,因此企業將需要確保所有裝置擁有一個能夠在數分鐘之內修正整個環境問題的集中化SSL管理點。
為何SSL/TLS流量的能見度與管控如此重要?十?年前,SSL專供金融機構和一些特別組織例如公共部門在重視安全性的Web網站管理使用者登入,如今,它已擴充到大多數Web服務,並且快速成為實質通訊協定。TLS則為今天的企業IT網路提供一種典範轉移,維護網路伺服器的通訊安全,用戶端與伺服器之間的連接具有隱私性,採用對稱加密技術為傳輸的資料提供加密保護。
隨著加密流量的增加,仰賴防火牆、入侵預防與偵測系統的傳統方法變得無用武之地,因為這些裝置會遭受側面攻擊而無法掌握那些通過它們的資料流。
這問題的解決方案就是在安全周邊進行初期SSL解密。然而,大多數安全周邊方案並非針對SSL解密用途而特別設計或開發。儘管有些或許具備解密能力,但並無法適當的執行這項功能。許多企業開啟SSL解密功能後,也出現顯著的效能折損問題。為了發揮Layer 7安全裝置的最大效率,SSL解密必須在接近安全周邊的地方執行,一旦內送的SSL流量解密後,就可以對其請求進行分析、修改和導引。
網路犯罪者往往利用SSL繞過安全裝置以進行攻擊,因為他們知道那些裝置有安全漏洞。隱藏在SSL流量之內的惡意程式也能輕易地繞過安全平台。Gartner估計到2017年,超過50%的企業網路攻擊將利用SSL以繞過安全保護措施。
安全管理人員在發現一些會產生諸如Heartbleed、BEAST、POODLE等攻擊威脅的脆弱加密套件後,只有很短的時間可用來修復安全脆弱性。面對數百或數千SSL伺服器,其修復時間可能需要數個星期,而且仍然容易遭受惡意來源的攻擊。
問題在於要弄清楚該對那些流量進行解密。如果企業需要為外部使用者提供內容服務,那麼就需要利用一種裝置將SSL流量從伺服器卸載下來,然後將保護置入流量內。這會破壞SSL,但屬於一種有智慧的方法——你不會想解密一個銀行通訊,但確實會想管控Facebook通訊。想確保安全性,必須仰賴智慧化感知流量的走向,然後決定是否應予以解密或直接放行。
雖然SSL技術上而言支援點對點安全,但未必能確保整個流量安全。隱藏在加密流量內的惡意程式可以攔截SSL而無需偽造SSL憑證,因此IT的主要重點就是即時檢測攻擊並立即予以舒緩。
例如F5的全代理(Full Proxy)架構,可提供無間隙的對話與解密,同時為內部和外部通訊建置分離的連接。而IT無須汰換整個Web應用基礎設施就能受惠於HTTP/2.0效益。隨著更強大加密金鑰(從1024到2048位元)的採用,運算需求也比以往增加4到8倍。藉由採用特殊的硬體和硬體加速器,將可以舒緩為整個伺服器群組升級CPU資源的需求。
(本文作者現任F5台灣暨香港區資深技術總監)