暗伏的危機――為何我們需要SSL流量檢查

Jeff Harris為我們展現了因SSL加密數據倍增所導致的安全盲點(diǎn)，以及如何利用SSL流量檢查在不影響性能的情況下全面洞察網(wǎng)絡(luò )潛在威脅。

數據流量加密是否有利于網(wǎng)絡(luò )安全?某種程度上來(lái)說(shuō)，的確如此。然而美好的事物往往都是魚(yú)和熊掌不可兼得，為提高安全性而犧牲應用性能是我們需要避免的事情。

大多數企業(yè)機構的SSL流量平均已占網(wǎng)絡(luò )總流量的15%至25%，在垂直細分市場(chǎng)中的此類(lèi)流量更高。行業(yè)規范諸如支付卡行業(yè)安全標準(PCI-DSS)以及HIPAA法案均要求各企業(yè)在數據傳輸中對敏感數據進(jìn)行加密(例如：銀行往來(lái)數據、商戶(hù)或醫療行業(yè)相關(guān)網(wǎng)站等)。重要企業(yè)應用程序如Microsoft Exchange、Salesforce.com、Dropbox也針對LinkedIn、Twitter、Facebook等超人氣網(wǎng)站啟用SSL，以達到隱私保護要求。

加密有利于保護數據，但它同樣可以保護潛在的攻擊者。復雜的惡意軟件以及難以察覺(jué)但有很大危害的潛在攻擊信息往往隱藏在SSL加密流量中。然而數據流的加密使得IT團隊的安全監控、應用監控、安全分析，甚至資源規劃變得更加困難，因為他們不得不通過(guò)解密與檢查所有數據尋找異常情況。

暗伏的危機

SSL加密數據中還可能隱藏著(zhù)什么?企業(yè)需要了解兩大風(fēng)險：有形威脅以及更加微妙的威脅信號。

這種“威脅”通常是指惡意軟件，即經(jīng)過(guò)加密處理偽裝成良性SSL流量的惡意代碼。威脅信號則表明惡意方正在窺探或掃描網(wǎng)絡(luò )，試圖尋找攻擊弱點(diǎn)，它們是潛在黑客或網(wǎng)絡(luò )入侵的明證。識別和應對這兩類(lèi)威脅是IT團隊的主要任務(wù)之一，然而日益激增的SSL流量使得這些任務(wù)耗時(shí)更長(cháng)并且需要特殊的分析工具。

性能是關(guān)鍵

當然，企業(yè)的下一代防火墻和應用監測工具可應對這些威脅。防火墻能夠解密和掃描SSL數據，并且根據安全策略檢查是否存在惡意軟件或防止入侵企圖。

但是，此類(lèi)功能也有附加條件。由于IT團隊在防火墻上啟動(dòng)了更多功能，如：病毒防護、防僵尸、IPS、URL過(guò)濾和應用控制，整套安全工具的計算時(shí)間也越來(lái)越長(cháng)，存在安全套件成為瓶頸的風(fēng)險，因而限制網(wǎng)絡(luò )發(fā)展，或必須對安全套件進(jìn)行全面升級，以滿(mǎn)足必要的性能需求。

企業(yè)戰略集團(Enterprise Strategy Group)2015的研究(1)顯示，24%的企業(yè)網(wǎng)絡(luò )團隊對可能會(huì )破壞關(guān)鍵流量或有損業(yè)績(jì)的技術(shù)表示不太了解。然而，除了正常功能，采用安全網(wǎng)關(guān)解密SSL流量的固有處理開(kāi)銷(xiāo)通常會(huì )對性能產(chǎn)生顯著(zhù)影響，當業(yè)務(wù)和數據量都在增長(cháng)的情況下尤其如此。網(wǎng)絡(luò )安全檢測機構NSS Lab 2013年針對7個(gè)下一代防火墻測試(2)的調查發(fā)現，在使用基本512B和1024B密碼時(shí)，該設備的平均性能損失高達74%。

狀態(tài)檢測

所以我們如何才能消除因加密或增加可視性而產(chǎn)生的安全盲點(diǎn)?又是如何在無(wú)損整體網(wǎng)絡(luò )性能的前提下洞察隱蔽流量中潛伏的危機?首先，企業(yè)必須全面且清晰地訪(fǎng)問(wèn)其物理、虛擬和混合云環(huán)境下的所有流量。為此，通常需要使用全狀態(tài)SSL解密，拓展安全團隊探察業(yè)務(wù)和網(wǎng)絡(luò )應用程序加密流量的能力，以發(fā)現隱藏的異常，如：網(wǎng)絡(luò )偵察、入侵或惡意軟件。

全狀態(tài)SSL解密可提供完整的會(huì )話(huà)信息，幫助IT團隊更好地理解處理全進(jìn)程和可能發(fā)動(dòng)的攻擊，這與單純提供原始數據包的無(wú)狀態(tài)解密截然不同。

其次，全狀態(tài)SSL解密應在專(zhuān)用平臺上完成，如：網(wǎng)絡(luò )數據包中轉(network packet broker)，以便卸載來(lái)自防火墻、安全網(wǎng)關(guān)和應用程序監視工具的額外處理負擔。通過(guò)減少工作負載，使其更好地識別并有針對性地應對攻擊，這有助于最大限度地發(fā)揮防病毒、沙箱和IPS等工具及其運行應用程序的性能和容量。將網(wǎng)絡(luò )數據包代理程序植入精心搭建的架構旁路框架可實(shí)現網(wǎng)絡(luò )可用性和可靠性最大化。這將充分釋放安全性和網(wǎng)絡(luò )架構的潛力，同時(shí)為IT和安全團隊提供所有加密和未加密網(wǎng)絡(luò )流量的全面可視性。

SSL加密在打擊非法信息竊取和黑客攻擊，保護敏感數據，幫助企業(yè)達到合規性要求方面起著(zhù)至關(guān)重要的作用。但它同時(shí)也可能隱瞞安全威脅，限制網(wǎng)絡(luò )團隊檢查、調整和優(yōu)化應用性能的能力。企業(yè)為客戶(hù)的流量保駕護航非常重要，然而消除加密盲點(diǎn)并獲得洞察網(wǎng)絡(luò )和關(guān)鍵任務(wù)應用程序的全面可視性也同樣不容忽視，部署合適架構則是實(shí)現一石二鳥(niǎo)的良方。