中文简体版   English   星期一 ,8月 19日, 2019 (台北)
登入  申請試用  MY DIGITIMES236
 
ISIA
B2B

新世代應用架構保護新標準 SSL全面可視化

  • 吳冠儀

新世代應用架構保護新標準,SSL全面可視化。

在加密技術與當前的安全狀況,根據F5 Labs威脅情報團隊的研究,採樣的數百萬個網站中,有80%的頁面都是以加密方式載入。由於幾個驅動因素:歐盟通用資料保護法規(GDPR)、Google搜尋結果排名喜好設定,HTTP(明文)網站的瀏覽器警告以及隱私日益成長的重要性,傳輸層安全性(TLS)的採用已成為各種規模和各個產業組織的標準。

企業面臨的挑戰

密碼通訊協定:如安全通訊端層(SSL) 及其後繼傳輸層安全性(TLS)—用於防止攻擊者竊聽和篡改資料。然而,加密是一把雙刃劍,因為攻擊者可以使用TLS作為隧道來隱藏從安全設備來的攻擊和惡意 軟體。企業需努力解決以下這些挑戰:IT效率低下,例如傳統串列式架構鏈接多個安全檢查設備以及不同流量場景的繁瑣手動配置。

檢測設備(如新一代防火牆、IDS/IPS或惡意軟體沙箱)在加密時不會看到加密的TLS/SSL流量或效能下降;許多新的安全產品無法在不降低網路效能的情況下解密TLS/SSL流量; SSL 3.0雖然在2015年被IETF棄用,但網際網路上有11%的流量仍然繼續使用。此外,還發現許多SSL 3.0的新漏洞。

SSLO可視化加解密新標準

首先是支援多樣性演算法:全代理體系結構(full proxy)允許獨立控制用戶端和伺服器端驗算法和協定, 並且不受不匹配條件的影響。第二是動態設備支援,Inline HTTP、Inline Layer 3、Inline Layer 2、DLP/ICAP及TAP security devices。第三個是動態服務鏈,基於上下文的策略允許不同類型的流量流經不同的可重複使用的安全服務鏈。第四個動態擴,完整的全代理體系結構(full proxy)提供了強大的負載平衡、裝置健康狀態監控和任意數量的安全設備的獨立擴展。最後一個則是動態評估,能夠在改變生產設計之前動態引入和評估具有測試流量的新服務和服務鏈。

F5新世代應用程式基礎架構保護架構

F5 TLS/SSL解決方案,可以透過協同處理加密流量來超越可視性。不僅能夠查看進入應用程式或企業內部對外存取的網路資料封包,還可以協同處理功能,以及提供TLS/SSL與HTTP的完整代理,根據風險和動態網路條件,為資安管理提供動態安全原則的服務鏈流量策略控制模型。

更能透過解密流量與智慧路由,跨多個安全檢查裝置來抵禦加密威脅;透過了解所有資料連接點(傳入和傳出流量)來防止資料遺失並確保法遵性;跨多個安全工具進行單點加密和解密控制,以減少管理開銷;由高效能解密以及加密傳入和傳出SSL/TLS流量,來減少延遲;善用以原則為主的服務鏈,有效地在安全堆疊中的路由加密流量以進行檢查; 裝置之間負載平衡,以大幅度減少瓶頸;透過集中金鑰管理減輕管理負擔;透過大數據可視化平台,整合呈現F5與第三方安全設備的威脅情勢,快速掌握回應所有資安事件。

確保未來安全

企業需要能夠正確掃描傳入和傳出的流量。更重要的是,他們必須生動地視覺化和分析當今攻擊媒介的性質,以確保其應用程式安全,而這些應用程式是迄今為止最有價值的資料資產。切記,談到網 路犯罪分子對加密的腐敗行為時,他們是無處可藏的。現在是證明自己能對抗未來威脅的時候了。

欲了解詳情,歡迎連結至電子書下載