Анализ на SSL връзки

Как да решим корпоративни SSL проблеми

С приложения като SharePoint, Exchange, WebEx, Salesforce.com и Google Apps обемът на SSL (криптиран) трафик в предприятието бързо нараства. Освен това повечето имейл приложения (като Gmail, Yahoo и Zimbra) осигуряват връзки чрез SSL.

Шифрованият трафик защитава данните на крайния потребител, но в същото време създава слепи зони за сигурност. Инфраструктурата за корпоративна сигурност не „вижда“ SSL трафика и следователно някои заплахи могат да останат незабелязани. В допълнение към защитата на информацията, SSL криптирането предоставя отличен инструмент за атакуващите да прикрият своите атаки, както се вижда от новините за някои скорошни атаки.

В допълнение към външните заплахи, които използват SSL канали за заобикаляне на механизмите за сигурност, изходящият трафик също се превръща в проблем. Анализът на изходящия трафик се превръща в болезнена точка за много системи за сигурност, фокусирани върху предотвратяването на загуба на данни, законното прихващане на информация и одита на спазването на сигурността. За такива системи SSL трафикът просто остава „в сянка“.

Този документ се опитва да разбере причините за увеличаването на SSL трафика и по какви методи може да се използва за решаване на проблемите, съпътстващи използването на SSL в предприятието.

Кога е необходим SSL

Предприятията най-често използват SSL за криптиране на изходящия трафик, за да защитят информацията, предавана през отворена мрежа. Но дори вътре в предприятието, SSL се оказва полезен: например за криптиране на поверителна информация, когато се прехвърля между отделите, или за запазване на информацията за дейностите на предприятието в тайна. Предприятията също са изправени пред необходимостта от криптиране на връзките на мобилни потребители, които се свързват дистанционно с корпоративната мрежа и поради тази причина, базирана на SSL VPN технология бързо се развива.

Нарастване на SSL трафика

Докато SSL решава много проблеми със сигурността чрез криптография, някои заплахи за криптиране могат да останат незабелязани от механизмите за сигурност. Усложнява нещата факта, че криптираният трафик съставлява значителна и нарастваща част от трафика в цялото предприятие. Проучванията показват, че средно 25-35% от корпоративния трафик е криптиран, а в някои случаи цифрата може да достигне 70%.

анализ

Фигура 1. Използване на SSL

Какви проблеми могат да бъдат причинени от използването на SSL

Очевидно има законни причини за криптиране на входящия/изходящия трафик на предприятие. Но криптираният трафик е изпълнен и с рискове за сигурността, тъй като SSL може да скрие техните дейности и злонамерен софтуер. Както повечето ИТ мениджъри знаят, всички предимства на SSL лесно се превъзхождат от потенциалните опасности от криптиран трафик. Докато SSL гарантира поверителността на потребителската и корпоративната информация, като защитава данните от прихващане, едновременно криптирането може да затрудни или дори невъзможно спазването на корпоративните политики за сигурност. Освен това SSL затруднява ИТ администраторите да защитават крайните потребители от заплахи като спам и злонамерен софтуер. Без възможността да анализират съдържанието на криптиран канал, мрежовите оператори са по-трудни за предотвратяване на изтичане на информация или кражба. SSL също прави почти невъзможно спазването на всички изисквания, продиктувани от регулаторни документи, като например откриване на случайно или умишлено изтичане на информация.

SSL методи за контрол на трафика

За да защитят бизнеса си, мрежовите оператори вече са внедрили редица мрежови устройства и системи за сигурност, за да наблюдават спазването на корпоративните политики за сигурност и правителствените разпоредби. Устройствата могат да изпълняват широк спектър от функции: откриване на злонамерен софтуер, контрол на сърфирането в мрежата, филтриране на трафика, VPN функционалност, системи за откриване и предотвратяване на проникване, унифицирани системи за управление на заплахи, контрол на спама, спазване на нормативните изисквания и т.н. По правило работата на устройствата се основава на подробен анализ на трафика и пакетите, по-специално търсене на известни подписи за атаки, блокиране и поддържане на статистика за атаките. За съжаление, много системи за сигурност и мрежови устройства анализират само некриптиран трафик и следователно с нарастващото използване на SSL повечето решения стават все по-малко ефективни.

В миналото решението на свързаните с SSL проблеми се свеждаше до две крайности: или напълно блокира SSL трафика чрез драконовски методи, или напълно го пропуска, без да анализира, като по този начин минимизира ефективността на мрежовите устройства и системите за сигурност. И двете алтернативи са неприемливи за предприятието.

В допълнение към методите, описани по-горе, има и други подходи за контрол на SSL трафика. Такива методи имат подобна цел: да анализират некриптирано съдържание на SSL трафик и да изпращат информация за открити нарушения/атаки на управляващата машина. Като правило алтернативните решения успешно анализират SSL трафика, но те също имат своите ограничения.

Днес в повечето предприятия мрежовите оператори все още позволяват криптиране на трафика, но с едно предупреждение: всеки входящ/изходящ трафик трябва да бъде проверен спрямо SSL прокси. Прокситата предоставят възможност за анализ на съдържанието на трафика, но трафикът все още ще бъде криптиран, напускайки предприятието.

За съжаление, стандартните SSL прокси въвеждат допълнителни предизвикателства, които лесно надвишават техните ползи. SSL прокситата се поставят в трафика, но това създава задръстване на мрежата, тъй като прокситата просто нямат време да анализират трафика с гигабитови скорости.

Фигура 2. Мрежовите устройства нямат време да стъпват с повишена производителност на мрежата

Следователно прокситата налагат ограничения върху такива параметри на приложението като скорост на мрежовия вход/изход, използване на процесора и паметта. Поради наложените ограничения, SSL прокси се препоръчва да се използват в нискоскоростни мрежи или с ограничен брой потребители, сесии и/или потоци трафик. Ако някое от ограниченията бъде нарушено, проксито незабавно се превръща в тесно място и задръстванията в мрежата могат да бъдат премахнати само чрез добавяне на друг прокси.

Друг проблем с SSL прокси решенията е, че целият трафик, който не минава през проксито, е блокиран. Мрежовите устройства пренасочват трафика към 443-ия прокси порт; SSL прокситата от своя страна не могат да открият SSL потоци, насочени към други портове.

Прозрачни SSL прокси

С нарастването на мрежовата честотна лента и увеличаването на сложността на приложенията и атаките нараства и броят на внедрените мрежови устройства, системи за сигурност, услуги и IP приложения. Последицата е повишено търсене на SSL прокси. Въпреки огромния брой решения на пазара, малцина могат едновременно да гарантират високо ниво на сигурност, управляемост и ниско въздействие върху производителността на мрежата.

Идеалното решение трябва да постигне еднакво три цели: сигурност, управляемост и производителност на мрежата и въпреки че на пазара има решения, които напълно отговарят на един от параметрите, все още има недостиг на универсални решения. Увеличаването на сигурността, като същевременно се жертва производителността на мрежата и се нарушават регулаторните изисквания, е също толкова неприемливо, колкото увеличаването на производителността и спазването за сметка на сигурността. Досега беше трудно или почти невъзможно да се постигнат и трите цели наведнъж.

Сега на пазара се появява нов тип SSL прокси, който има всички предимства на своите предшественици, но в същото време неутрализира или напълно елиминира проблемите на съществуващите SSL прокси. Нов тип устройства, известни също като прозрачни SSL прокси, са вградени в мрежата по такъв начин, че некриптиран трафик се анализира, преди да влезе/излезе от LAN, WAN или центъра за данни. Прозрачността означава, че устройствата са вградени като „филтри“ в трафика, но прозрачните SSL прокси не са активни елементи на мрежата и следователно няма нужда да конфигурирате прокси IP конфигурация и да променяте мрежовата топология. Прозрачни SSL прокси могат да бъдат добавени към вашата мрежа, просто като свържете подходящия захранващ кабел към входа и изхода на устройството. Прозрачността също така означава, че потребителят „не вижда“ проксито на своя SSL трафик и в резултат на това може да се избегне отнемащо време и скъпо преконфигуриране на потребителските устройства и приложения.

връзки

Фигура 3. SSL прокситата трябва да постигнат еднакво три цели: сигурност, производителност на мрежата и видимост на трафика

Прозрачните SSL прокси виждат целия трафик, а не само SSL, и следователно могат да бъдат вградени и в некриптирани потоци. Ефективният прозрачен SSL прокси осигурява висока производителност на мрежовия слой, приложния слой, а също така осигурява интерфейс за свързване към SSL потоци. Като позволяват на прозрачните SSL прокси да имат достъп до некриптиран SSL трафик, ИТ мениджърите вече могат по-лесно да следят спазването на политиките за сигурност и регулаторните изисквания.

Заключение

С очакването, че криптираният трафик ще продължи да расте, мрежовите оператори вече търсят решения, които, от една страна, биха отговорили на нуждите от информационна сигурност както на предприятията, така и на отделните потребители, а от друга страна, биха помогнали да се спазят и двете корпоративни и правителствени разпоредби. В допълнение, решенията не трябва да имат значително въздействие върху производителността на мрежата, тъй като спазването на мрежовата честотна лента е също толкова неприемливо, колкото предоставянето на потребителите и приложенията с необходимата честотна лента чрез защита. Досега беше трудно и понякога невъзможно да се изпълнят взаимно изключващи се изисквания за безопасност, производителност и управляемост.

Как да засилим сигурността и спазването на SSL инспекцията

Netronome предоставя "градивни елементи" и решения до ключ за решаване на проблемите, възникващи при използването на SSL в предприятието. Едно от решенията е Netronome SSL Inspector. Netronome SSL Inspector е високопроизводителен промишлен SSL прозрачен прокси, който ви позволява да анализирате некриптираното съдържание на SSL трафика. Сега мрежовите администратори могат да бъдат спокойни, че често срещани заплахи като злонамерен софтуер, кражба на данни и други форми на киберпрестъпления могат лесно да бъдат открити дори в криптиран трафик, което преди това не беше възможно.

Без да нарушават каквито и да било корпоративни или държавни стандарти за сигурност, продуктите на Netronome гарантират най-високо качество на анализа на трафика и видимост, дори при гигабитови скорости.