在今天,商业的战争演变成了技术的交锋,谁使用更领先的科技,谁就有更光明的未来。大数据,物联网,人工智能和云计算已经成为现在企业的标配。然而,科技越发达,威胁也就越多。随着威胁态势不断演变且加密措施日益普及,对流量进行更严格检查的需求也呈指数级增长。安全团队采用多种技术来检测其应用面临的威胁,包括下一代防火墙(NGFW)、Web 应用防火墙(WAF) 及入侵防御系统(IPS),但F5在这方面的防御效果却特别好,那么F5的SSL加解密和负载均衡器如何提高安全性?
由于之前技术缺乏对加密流量的可视性,因此在检查中需要使用 SSL/ TLS 解密来提供需要的任何价值。在传统基础设施中,必须在检查链的每个控制点重复执行相关解密 和重加密任务。
再多个控制点执行流量解密
在连接流的多个控制点进行解密将带来以下问题:
需要额外的投入以在每台设备上实施 TLS 解密。
加重每台解密设备的性能负担。
出现多个故障点,增加连接延迟。
增加公共证书和密钥对的分发和管理负荷。
独立扩展每项服务的难度增加。
许多企业的对策是,在 DMZ 中创建解密区并通过多台设备进行检查,但在静态路径中所有解密流量通常由同一设备链检查。尽管这一策略确实能够提升性能,并降低管理费用,但却可能带来扩展问题。此外,它还可能限制正向加密所需的密码套件的使用,进而削弱环境的加密安全性。最后,该流程效率低下,因为您的安全设备将检查所有内容,而非仅识别和检查可疑流量。设置解密区的同时若不配以增强的智能性和流量编排,对于处理亟待解决的加密流量可视性难题显然帮助不大。值得庆幸的是,我们有更好的方法。
更多安全的应用交付
随着 HTTPS 流量激增,解密已经成为支持应用层流量管理决策的必要条件。企业经常利用 BIG-IP 本地流量管理器(LTM)等应用交付控制器(ADC)为应用服务器以外的其他系统提供可视性。由此带来的新挑战是,需要通过同一应用连接为多种第三方检查技术提供可视性。
SSL Orchestrator 的动态服务链
去年,F5 SSL Orchestrator 正式发布,推出了针对出站流量动态链接多项检查服务的功能。借助 TMOS 版本 14,SSL Orchestrator 为入站流量添加了相同功能。这一全新入站服务链功能让现有 BIG-IP LTM 成为添加 SSL Orchestrator 的合理位置,可支持当今威胁形势下所需的安全检查。 请考虑这样一种场景,即在将所有解密流量发送到目标应用服务器之前,将其发送至性能监控系统。如果源 IP 地址可疑,则最好发送此解密流量供 IPS 检查,并由性能监控系统进行记录。SSL Orchestrator 能够加强对可疑请求的检查,而无需使用复杂路由或其他网络路径。SSL Orchestrator 的独特服务链功能支持安全运营团队创建一个动态配置,以适应具有多个相关检查路径的许多不同场景。SSL Orchestrator 提供一个易于使用的 GUI 和支持新老应用的工作流。因此,该解决方案能够轻松集成至现有环境或新构建的环境中。此外,您还可以将SSL Orchestrator 配置到独立架构中,以便将重 加密流量发送至另一个路由目标,而非应用服务器池。
SSL Orchestrator 的独特服务链功能支持安全运营团队创建一个动态配置
架构考虑因素
在传输通过解密区中的所有检查设备后,流量将返回到原始 BIG-IP 设备。因此,流量和利用率能够迅速提升。BIG-IP云版本部署将需要使用更大或更多实例。对于 BIG-IP 硬件设备而言,这意味着需要确 保指定的新设备或现有设备具有足够的可用容量。幸运的是,TMOS 中高度优化的 SSL/TLS 堆栈不仅支持高效的解密和重加密,而且在硬件方面,它还具备专用加密处理器的优势。
总结
安全与风险控制息息相关,只有提高可视性才能实现有效控制。SSL Orchestrator 支持安全从业人员更深入地了解新流量和现有流量,从而最大限度地提高现有安全投资成效。将 SSL Orchestrator 添加至 BIG-IP 本地流量管理器能够最大限度地减少对现有架构的影响,并将 ADC 用作战略控制点,可帮助您改善安全状况,同时保持业务运营所需的性能标准。
