[投稿] 網頁流量加密就萬無一失?揭露加密流量中的潛藏威脅!

當企業將關鍵應用程式推行到雲端 (如Email、CRM、企業情報以及檔案儲存等),他們便需要監控保護這些應用程式,就如同他們必須監控保護內部主機的應用程式。許多這些基於雲端的應用程式都使用SSL,暴露出企業防禦日益擴大的漏洞。 針對端對端的安全,企業組織需要檢測來自內部用者的對外SSL流量,也需檢測從外部使用者到企業自有應用伺服器的對內SSL流量,才能消除企業防禦的盲點。

SSL加密提高了保密性和資訊的完整性,但這也使企業組織處於危險之中,因為越來越多的駭客利用SSL加密以逃避檢測。隨著越來越多應用程式支援SSL,SSL加密不只代表企業的公認防護產生裂縫,更是出現惡意人士所能利用的巨大漏洞。

SSL是一種標準的安全技術用於建立伺服器和客戶端之間的加密連結,典型的如web server和瀏覽器,或郵件伺服器和郵件客戶端之間的加密連結。

為了預防攻擊、入侵及惡意軟體,企業需要檢測傳入與傳出流量中的威脅。現今的SSL已佔網路流量的25 – 35%[1]。而同時,越來越多的攻擊者也正轉向加密來逃避檢測。

網路罪犯使用SSL來揭露企業防禦盲點。而企業依賴五花八門的安全產品來保護流量,阻擋入侵,制止惡意軟體並控管使用者可存取的應用程式。為保持使用者在企業網路內的安全,這些安全產品必須檢測所有通訊,並非只是檢測明文流量。

可惜的是,許多防火牆、入侵預防及威脅預防產品無法跟上日益增長的SSL加密需求。美國國家標準技術局(NIST)專業刊物800-131A促使加密從1024位元轉變為2048位元SSL金鑰,這項轉變造成安全設備的負擔,因為解密2048位元憑證所需的處理能力是解密1024位元憑證的近6.3倍[2]

隨著SSL 憑證金鑰長度持續增加 (4096位元金鑰長度在憑證頒發機構所授權的單一憑證中就佔了20%[3]),在解密需求增加的情況下,許多安全設備逐漸不敷使用。

NSS Labs 在《SSL Performance Problems》報告中發現八個次世代防火牆龍頭業者在解密2048 位元加密流量時經歷重大效能退化。此使得NSS Labs宣稱「在未使用專用SSL解密設備的情況下,企業網路中SSL檢測的可行性令人擔憂」[4]

當企業將關鍵應用程式推行到雲端 (如Email、CRM、企業情報以及檔案儲存等),他們便需要監控保護這些應用程式,就如同他們必須監控保護內部主機的應用程式。許多這些基於雲端的應用程式都使用SSL,暴露出企業防禦日益擴大的漏洞。

針對端對端的安全,企業組織需要檢測來自內部用者的對外SSL流量,也需檢測從外部使用者到企業自有應用伺服器的對內SSL流量,才能消除企業防禦的盲點。

ADC的救援

先進的應用交付控制器(ADC)不僅能對流量做負載平衡,並可消除SSL加密所造成的盲點,卸載CPU密集型的SSL解密功能,讓安全設備能檢測加密流量,而不是只針對明文檢測。此外,先進的ADC亦能解密SSL加密的流量,並將其轉送給第三方安全設備(如防火牆等),進行深層封包檢測(DPI)。一旦流量已經過分析與清洗,ADC會再次加密流量並轉送至預定目的地。

雖然專用的安全設備能對網路流量提供深入檢測與分析,卻鮮少被設計成能高速加密SSL流量,有些安全產品甚至完全無法解密SSL流量。SSL檢測技術 (在某些ADC中為標準配備) 能讓專用安全設備卸載CPU密集型運算的加密與解密任務,藉此提升應用程式效能。

ADC 擔任擷取SSL流量的轉送代理伺服器。企業組織可以透過部署ADC裝置,有效保護通訊。

除了在線(inline)部署,企業可使用被動模式(passive mode)部署安全設備,例如入侵偵測系統及數據分析工具。在被動模式下,安全設備可輕易整合至上線環境中運作,不需進行網路變更或引入單點失效(single point of failure);非在線部署則適用於檢測、警告及通報事件的安全設備,而不是用於主動攔阻威脅。

部署了ADC後,企業便能以SSL加速硬體實現高效能、以負載平衡提升安全性、藉由控制解密流量種類,降低安全基礎設備負擔,並且精細的控制流量。為滿足合規性要求並確保資料隱私,ADC也可選擇性繞過敏感的網路應用程式,例如對銀行與醫療的應用程式流量。

單點解密及分析

企業組織通常會部署多重安全解決方案,分析並過濾應用程式流量。ADC可提供單一集中點去解密SSL流量,再將其以明文傳送至眾多設備,以消除多次解密流量的需求。ADC能與防火牆、入侵預防系統 (IPS)、整合式威脅管理 (UTM) 平台、資料外洩防護 (DLP) 產品、威脅防禦平台及網路數據分析及網站監控工具等系統互相運作,為眾多網路安全設備提供可視性。

許多安全設備並非針對在線部署或高速SSL解密所設計。ADC讓這些設備能檢測SSL加密資料,不會以需要大量運算的SSL處理程序造成設備負擔。

評估ADC SSL檢測功能的要點

為達成精簡與自動化管理,企業應選擇包含業界標準CLI、網站使用者介面、以及可整合第三方或定制化管理控制台的RESTful API的應用交付控制器ADC。針對較大型部署,一個集中化管理系統能確保例行任務可以大規模跨多個裝置執行,而不受實際位置影響。

並非所有ADC功能都相同,選擇一個能透過高速解密SSL流量來消除企業防禦盲點、透過檢測進階威脅來防止昂貴的資訊外洩及智財權損失、透過負載平衡多個第三方安全設備使正常運行時間最大化,以及能擴展性能和throughput以應對網路攻擊的ADC,是非常至關重要的。


[1] NSS Labs, “SSL Performance Problems,” https://www.nsslabs.com/reports/ssl-performance-problems

[2] 在商用硬體上,據StackExchange分析,2048位元RSA憑證在解密和加密分別比1024位元RSA多出6.3與3.4倍的運算時間

[3] NetCraft SSL 問卷調查,2013年5月, http://www.netcraft.com/internet-data-mining/ssl-survey/

[4] NSS Labs, “SSL Performance Problems,” https://www.nsslabs.com/reports/ssl-performance-problems

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416