[投稿] 網頁流量加密就萬無一失？揭露加密流量中的潛藏威脅！

SSL 加密提高了保密性和資訊的完整性，但這也使企業組織處於危險之中，因為越來越多的駭客利用 SSL 加密以逃避檢測。隨著越來越多應用程式支援 SSL，SSL 加密不只代表企業的公認防護產生裂縫，更是出現惡意人士所能利用的巨大漏洞。

SSL 是一種標準的安全技術用於建立伺服器和客戶端之間的加密連結，典型的如 web server 和瀏覽器，或郵件伺服器和郵件客戶端之間的加密連結。

為了預防攻擊、入侵及惡意軟體，企業需要檢測傳入與傳出流量中的威脅。現今的 SSL 已佔網路流量的 25 – 35%[1]。而同時，越來越多的攻擊者也正轉向加密來逃避檢測。

網路罪犯使用 SSL 來揭露企業防禦盲點。而企業依賴五花八門的安全產品來保護流量，阻擋入侵，制止惡意軟體並控管使用者可存取的應用程式。為保持使用者在企業網路內的安全，這些安全產品必須檢測所有通訊，並非只是檢測明文流量。

可惜的是，許多防火牆、入侵預防及威脅預防產品無法跟上日益增長的 SSL 加密需求。美國國家標準技術局 (NIST) 專業刊物 800-131A 促使加密從 1024 位元轉變為 2048 位元 SSL 金鑰，這項轉變造成安全設備的負擔，因為解密 2048 位元憑證所需的處理能力是解密 1024 位元憑證的近 6.3 倍 [2]。

隨著 SSL 憑證金鑰長度持續增加 (4096 位元金鑰長度在憑證頒發機構所授權的單一憑證中就佔了 20%[3])，在解密需求增加的情況下，許多安全設備逐漸不敷使用。

NSS Labs 在《SSL Performance Problems》報告中發現八個次世代防火牆龍頭業者在解密 2048 位元加密流量時經歷重大效能退化。此使得 NSS Labs 宣稱「在未使用專用 SSL 解密設備的情況下，企業網路中 SSL 檢測的可行性令人擔憂」[4]。

當企業將關鍵應用程式推行到雲端 (如 Email、CRM、企業情報以及檔案儲存等)，他們便需要監控保護這些應用程式，就如同他們必須監控保護內部主機的應用程式。許多這些基於雲端的應用程式都使用 SSL，暴露出企業防禦日益擴大的漏洞。

針對端對端的安全，企業組織需要檢測來自內部用者的對外 SSL 流量，也需檢測從外部使用者到企業自有應用伺服器的對內 SSL 流量，才能消除企業防禦的盲點。

ADC 的救援

先進的應用交付控制器 (ADC) 不僅能對流量做負載平衡，並可消除 SSL 加密所造成的盲點，卸載 CPU 密集型的 SSL 解密功能，讓安全設備能檢測加密流量，而不是只針對明文檢測。此外，先進的 ADC 亦能解密 SSL 加密的流量，並將其轉送給第三方安全設備 (如防火牆等)，進行深層封包檢測 (DPI)。一旦流量已經過分析與清洗，ADC 會再次加密流量並轉送至預定目的地。

雖然專用的安全設備能對網路流量提供深入檢測與分析，卻鮮少被設計成能高速加密 SSL 流量，有些安全產品甚至完全無法解密 SSL 流量。SSL 檢測技術 (在某些 ADC 中為標準配備) 能讓專用安全設備卸載 CPU 密集型運算的加密與解密任務，藉此提升應用程式效能。

ADC 擔任擷取 SSL 流量的轉送代理伺服器。企業組織可以透過部署 ADC 裝置，有效保護通訊。

除了在線 (inline) 部署，企業可使用被動模式 (passive mode) 部署安全設備，例如入侵偵測系統及數據分析工具。在被動模式下，安全設備可輕易整合至上線環境中運作，不需進行網路變更或引入單點失效 (single point of failure)；非在線部署則適用於檢測、警告及通報事件的安全設備，而不是用於主動攔阻威脅。

部署了 ADC 後，企業便能以 SSL 加速硬體實現高效能、以負載平衡提升安全性、藉由控制解密流量種類，降低安全基礎設備負擔，並且精細的控制流量。為滿足合規性要求並確保資料隱私，ADC 也可選擇性繞過敏感的網路應用程式，例如對銀行與醫療的應用程式流量。

單點解密及分析

企業組織通常會部署多重安全解決方案，分析並過濾應用程式流量。ADC 可提供單一集中點去解密 SSL 流量，再將其以明文傳送至眾多設備，以消除多次解密流量的需求。ADC 能與防火牆、入侵預防系統 (IPS)、整合式威脅管理 (UTM) 平台、資料外洩防護 (DLP) 產品、威脅防禦平台及網路數據分析及網站監控工具等系統互相運作，為眾多網路安全設備提供可視性。

許多安全設備並非針對在線部署或高速 SSL 解密所設計。ADC 讓這些設備能檢測 SSL 加密資料，不會以需要大量運算的 SSL 處理程序造成設備負擔。

評估 ADC SSL 檢測功能的要點

為達成精簡與自動化管理，企業應選擇包含業界標準 CLI、網站使用者介面、以及可整合第三方或定制化管理控制台的 RESTful API 的應用交付控制器 ADC。針對較大型部署，一個集中化管理系統能確保例行任務可以大規模跨多個裝置執行，而不受實際位置影響。

並非所有 ADC 功能都相同，選擇一個能透過高速解密 SSL 流量來消除企業防禦盲點、透過檢測進階威脅來防止昂貴的資訊外洩及智財權損失、透過負載平衡多個第三方安全設備使正常運行時間最大化，以及能擴展性能和 throughput 以應對網路攻擊的 ADC，是非常至關重要的。

[1] NSS Labs, “SSL Performance Problems,” https://www.nsslabs.com/reports/ssl-performance-problems

[2] 在商用硬體上，據 StackExchange 分析，2048 位元 RSA 憑證在解密和加密分別比 1024 位元 RSA 多出 6.3 與 3.4 倍的運算時間

[3] NetCraft SSL 問卷調查，2013 年 5 月, http://www.netcraft.com/internet-data-mining/ssl-survey/

[4] NSS Labs, “SSL Performance Problems,” https://www.nsslabs.com/reports/ssl-performance-problems