A10陳志緯：加密流量中可能潛藏著資安風險

（本文為2018網路資訊「無邊界網路安全研討會」新竹場之會後報導）

「回顧過往加密流量，從2013年25%~35% 的Internet加密流量，到了2018年已達75%，未來很可能接近100%。」A10台灣區資深技術經理陳志緯呼籲大家當關注日益增長的加密流量，加密流量中可能潛藏著資安風險。

加密流量應該很安全，但很弔詭的資安犯罪反而日益猖獗，現在每個月多出150萬個新釣魚網站、10個惡意軟體中有6個是勒索軟體，資料流失風險是19倍成長，而WannaCry災害更遍及全球150國，包含知名企業如FedEx、Hitachi、Honda等均受其害。

而這些危害有一半存在於加密流量中，一旦加了密現行資安設備即難以偵測防範，只能bypass掉，駭客也知道這個通道可規避檢查，會更加利用該管道進行入侵。若未來加密流量更多，從七成增至八成、九成，則資安設備的功效與價值將更趨弱。

針對此A10提出SSLi解決方案，用戶端欲對外存取Internet，過去是與遠端伺服器交換憑證，現在改與A10設備交換，透過A10 設備解密後，交由現有資案設備以明碼方式審核檢視是否有資安威脅，確認安全無虞時再由A10 設備加密送出，反之亦然。

若不是採行SSLi方案，則企業內每個資安設備均要自行執行「解密à檢查à重新加密」的程序，如此NGFW（新一代防火牆）、IPS入侵偵測、APT進階持續性威脅，皆反覆此一程序的結果將大量折耗企業網路效能與增加網路延遲。

陳志緯經理舉實際應用案例，台北市政府網站即導入A10 SSLi方案，一部裝於Internet出口端，一部裝於靠近伺服器端，透過出口設備匯入SSL伺服器憑證，除了前後放置A10 設備外原有企業網路與架構不需要太多改動。

前述為企業網站方案，反過來企業內的用戶要存取Internet網站也同樣運用A10 SSLi方案，企業內的網頁瀏覽器與A10 SSLi交換私有憑證並進行流量解密，台北市政府無論自有網站或員工對外存取Internet均有導入SSLi方案。

SSLi防護雖然理想但也有其挑戰，陳志緯經理說明幾個特殊情境，包含Certificate Pinning、CAC Authentication等，均有可能無法在SSLi設備階段進行解密，面對這些問題可透過匯入網站bypass 名單因應解決。

最後陳志緯經理也重申，導入與佈署SSLi方案相當快速方便，並不是大幅度的翻改工程，企業不用對此懼怕，事實上只要四個步驟即可完成，首先是在企業的Internet出口位置佈建一台SSLi設備（inline模式）及靠近使用者端或伺服器端佈建一台SSLi設備（inline模式），其次在企業內部佈署私有CA，第三漸進式導入使用者改用SSLi，第四則漸進導入伺服器改用SSLi，如此即告完成。

導入SSLi後，原有資安設備才能持續發揮功效，對日益增加的加密封包進行資安檢查，既保障企業原有資安投資，同時也不會過度折耗企業網路效能與增加網路延遲。期待有更多的企業能評估導入SSLi，共同建構更安穩無憂的資訊未來。