編輯部(本文為 2018 網路資訊「無邊界網路安全研討會」新竹場之會後報導)
「回顧過往加密流量,從 2013 年 25%~35% 的 Internet 加密流量,到了 2018 年已達 75%,未來很可能接近 100% 。」A10 台灣區資深技術經理陳志緯呼籲大家當關注日益增長的加密流量,加密流量中可能潛藏著資安風險。
加密流量應該很安全,但很弔詭的資安犯罪反而日益猖獗,現在每個月多出 150 萬個新釣魚網站、 10 個惡意軟體中有 6 個是勒索軟體,資料流失風險是 19 倍成長,而 WannaCry 災害更遍及全球 150 國,包含知名企業如 FedEx 、 Hitachi 、 Honda 等均受其害。
而這些危害有一半存在於加密流量中,一旦加了密現行資安設備即難以偵測防範,只能 bypass 掉,駭客也知道這個通道可規避檢查,會更加利用該管道進行入侵。若未來加密流量更多,從七成增至八成、九成,則資安設備的功效與價值將更趨弱。
針對此 A10 提出 SSLi 解決方案,用戶端欲對外存取 Internet,過去是與遠端伺服器交換憑證,現在改與 A10 設備交換,透過 A10 設備解密後,交由現有資案設備以明碼方式審核檢視是否有資安威脅,確認安全無虞時再由 A10 設備加密送出,反之亦然。
若不是採行 SSLi 方案,則企業內每個資安設備均要自行執行「解密à檢查à重新加密」的程序,如此 NGFW(新一代防火牆)、 IPS 入侵偵測、 APT 進階持續性威脅,皆反覆此一程序的結果將大量折耗企業網路效能與增加網路延遲。
陳志緯經理舉實際應用案例,台北市政府網站即導入 A10 SSLi 方案,一部裝於 Internet 出口端,一部裝於靠近伺服器端,透過出口設備匯入 SSL 伺服器憑證,除了前後放置 A10 設備外原有企業網路與架構不需要太多改動。
前述為企業網站方案,反過來企業內的用戶要存取 Internet 網站也同樣運用 A10 SSLi 方案,企業內的網頁瀏覽器與 A10 SSLi 交換私有憑證並進行流量解密,台北市政府無論自有網站或員工對外存取 Internet 均有導入 SSLi 方案。
SSLi 防護雖然理想但也有其挑戰,陳志緯經理說明幾個特殊情境,包含 Certificate Pinning 、 CAC Authentication 等,均有可能無法在 SSLi 設備階段進行解密,面對這些問題可透過匯入網站 bypass 名單因應解決。
最後陳志緯經理也重申,導入與佈署 SSLi 方案相當快速方便,並不是大幅度的翻改工程,企業不用對此懼怕,事實上只要四個步驟即可完成,首先是在企業的 Internet 出口位置佈建一台 SSLi 設備(inline 模式)及靠近使用者端或伺服器端佈建一台 SSLi 設備(inline 模式),其次在企業內部佈署私有 CA,第三漸進式導入使用者改用 SSLi,第四則漸進導入伺服器改用 SSLi,如此即告完成。
導入 SSLi 後,原有資安設備才能持續發揮功效,對日益增加的加密封包進行資安檢查,既保障企業原有資安投資,同時也不會過度折耗企業網路效能與增加網路延遲。期待有更多的企業能評估導入 SSLi,共同建構更安穩無憂的資訊未來。
