F5 SSL Orchestrator bietet Kunden dank starker Partnerschaften weitere Vorteile

Da F5 eine neue Version unseres leistungsstarken Produkts SSL Orchestrator (SSLO) vorbereitet, ist es erneut an der Zeit, auf die wichtige Rolle aufmerksam zu machen, die Partnerschaften bei der Kundensicherheit spielen. Bei F5 arbeiten wir mit vielen der weltweit führenden Sicherheitsunternehmen zusammen, um ein Ökosystem zu schaffen, das die Sicherheit stärkt, Skalierbarkeit und Verfügbarkeit erhöht und die Betriebskosten senkt. Das ultimative Ziel dieser engen Zusammenarbeit besteht darin, die Integration und Interoperabilität zu fördern, von der Sie, unsere gemeinsamen Kunden, profitieren. SSLO ist ein Musterbeispiel für die praktische Umsetzung dieser Interoperabilität.

Bevor ich auf die Integration von F5 SSL Orchestrator mit den Lösungen unserer Partner eingehe, möchte ich zunächst kurz auffrischen, was dieses Produkt leistet.

Lassen Sie sich durch SSL/TLS nicht blind für Bedrohungen machen

Wenn wir von SSL sprechen, sprechen wir grundsätzlich von Verschlüsselung. Und das Tückische an der Verschlüsselung ist, dass für die erforderliche Ent- und Neuverschlüsselung zur Überprüfung auf schädliche Inhalte viele Ressourcen erforderlich sind. „Bad Stuff“ ist in diesem Fall der hochtechnische Begriff für Dinge wie DDoS-Angriffe, [Zero-Day-]Web-Exploits, Dropper [Binärdateien] und Multiprotokoll-Callbacks, um nur einige zu nennen.

F5 SSL Orchestrator ist unsere Antwort auf die durch Verschlüsselung verursachten blinden Flecken. Diese vielseitige Softwarelösung, die auf einer Reihe von F5-Plattformen verfügbar ist, wurde speziell zur Optimierung Ihrer SSL-Infrastruktur entwickelt, indem sie Sicherheitsgeräten eine hocheffiziente Sichtbarkeit des SSL/TLS-verschlüsselten Datenverkehrs bietet. Wir unterstützen außerdem die richtlinienbasierte Verwaltung und Lenkung des Datenverkehrs zu vorhandenen Sicherheitsgeräten. Dadurch ist die Integration in vorhandene Architekturen – und in Lösungen anderer Anbieter – so einfach, dass Sie unternehmenseigene Sicherheitskontrollen problemlos auf Ihren gesamten verschlüsselten Datenverkehr anwenden können.

Dynamische Serviceverkettung – Einmal entschlüsseln, oft prüfen, einmal neu verschlüsseln

Um bestimmte Sicherheitsprobleme zu lösen, verknüpfen IT-Administratoren normalerweise mehrere Einzelprodukte miteinander, um einen umfassenden Sicherheitsstapel zu erstellen. Ein Stapel kann beispielsweise Data Loss Prevention (DLP)-Scanner, Web Application Firewalls (WAF), Webproxys, Intrusion Prevention Systems (IPS), Malware-Analysetools usw. enthalten. SSL Orchestrator erleichtert die Erstellung und Wartung solcher Ketten, indem es bestimmt, ob der Datenverkehr umgangen oder entschlüsselt und an den einen oder anderen Dienst gesendet werden soll. Durch die Verwendung von Richtlinien zur Automatisierung der Verkehrssteuerung werden die Verwaltungskosten gesenkt und Sie können den Nutzen aus bereits getätigten Investitionen in Sicherheitsdienste steigern.

Unsere Partnerschaft mit FireEye ® ist ein Beispiel dafür, wie Ihnen die SSLO-Serviceverkettung einen Mehrwert bietet. Traditionell wird ein Intrusion Prevention System (IPS) wie FireEye Network Security inline eingesetzt und der gesamte Datenverkehr läuft darüber. Das heißt, es muss auch für die Verarbeitung von verschlüsseltem Datenverkehr ausgelegt sein, auch wenn dieser Datenverkehr (gerade weil er verschlüsselt ist) nicht wirklich überprüft werden kann. Die moderne Lösung ist viel effizienter. Durch die Verwendung von SSL Orchestrator können wir dem IPS nur den Datenverkehr senden, der überprüft werden muss.

„Durch die Integration von FireEye in den SSL Orchestrator von F5 kann das Angebot von FireEye Network Security um zusätzliche Datenformen erweitert und erweiterte Anwendungsfälle bereitgestellt werden“, sagt Rich Stegina, VP of Strategic Technology Partners bei FireEye. „Die Leistung der Sicherheitslösungen von FireEye wird verbessert, wenn sie von der Last der Entschlüsselung und Verschlüsselung von Inhalten befreit werden. Unter solchen Umständen können unsere Kunden einen besseren Einblick in potenzielle Sicherheitsbedrohungen gewinnen.“

Firewalls der nächsten Generation sind ein weiteres hervorragendes Beispiel für ein Netzwerkgerät, das von SSL Orchestrator profitiert. Die führende Cisco Firepower NGFW beispielsweise ist eine vollständig integrierte, bedrohungsorientierte Firewall der nächsten Generation und ein Intrusion Prevention System der nächsten Generation mit einheitlicher Verwaltung. Es bietet einzigartigen erweiterten Bedrohungsschutz vor, während und nach Angriffen.

Und wie zuvor zentralisiert F5 die SSL-Entschlüsselung/Neuverschlüsselung mit der besten SSL-Hardwarebeschleunigung ihrer Klasse, wenn Cisco Firepower NGFW Teil Ihrer SSLO-Servicekette ist , und beseitigt so den Verarbeitungsaufwand bei jedem Sicherheitsprüfungs-Hop im Stapel. Da die Entschlüsselung/Neuverschlüsselung nicht mehr im Weg ist, kann sich Ihre Cisco Firepower NGFW auf das konzentrieren, was sie am besten kann.

„Cisco Firepower NGFW führt eine beeindruckende Reihe von Aufgaben bei einer unglaublichen Menge an Datenverkehr aus“, sagt Douglas Hurd, Technical Alliance Manager bei Cisco. „Kunden können zwar die integrierte SSL-Entschlüsselung nutzen, um mehr Transparenz zu erreichen, viele entscheiden sich jedoch dafür, diese rechenintensive Arbeit mit F5 SSL Orchestrator auszulagern. Das bedeutet, dass wir mehr unserer Leistung dort einsetzen können, wo es darauf ankommt – beim Schutz unserer Kunden.“

Viele andere Partner profitieren von einem SSL Orchestrator vor ihrem Produkt oder ihrer Lösung. Die DLP-Tools von Symantec sind ein weiteres gutes Beispiel, ebenso wie die RSA NetWitness Suite und die Next-Gen Firewall von Palo Alto Networks . Tatsächlich profitiert jeder Dienst, der den Datenverkehr prüft, von der Fähigkeit von SSL Orchestrator, nur relevante, verwertbare Daten durchzuleiten. Und die Vorteile liegen auf der Hand:

• Ein besseres Verkehrsmanagement bedeutet, dass Ihre Sicherheitsinfrastruktur und damit Ihre Anwendungen reibungslos laufen.
• Die Service-Verkettung bietet den Vorteil, dass der Datenverkehr nur einmal entschlüsselt werden muss, wodurch mehrere Prüfpunkte möglich sind, und dass der Datenverkehr anschließend einmal erneut verschlüsselt werden kann.
• Intelligente Orchestrierung des entschlüsselten Datenverkehrs im Sicherheits-Stack, die das Daisy-Chain-Paradigma aufbricht und die unabhängige Adressierung, Lastverteilung, Überwachung, Fehlerumgehung und letztendlich Skalierbarkeit von Geräten unabhängig von anderen Sicherheitsgeräten ermöglicht.
• Erweiterte Entschlüsselungsfunktionen stellen sicher, dass sich im verschlüsselten Datenverkehr keine Bedrohungen verbergen.

Weitere Entwicklungen folgen

Seien Sie gespannt auf die spannenden neuen SSL Orchestrator-Funktionen, die im Laufe dieses Jahres auf den Markt kommen. SSLO liefert wichtige Funktionen für eine so große Bandbreite an Geräten und Lösungen, dass es sich schnell zu einem unserer Vorzeigeprodukte entwickelt. Und wir arbeiten hart daran, sicherzustellen, dass es auch weiterhin einen Mehrwert bietet – sowohl für unsere Partner als auch für unsere Kunden.

Mehr erfahren

• Ihre SSL-Geheimnisse aufgedeckt – Erste Schritte mit SSL Orchestrator (DevCentral)
• SSL/TLS: Sichtbarkeit reicht nicht aus, Sie brauchen Orchestrierung (Blog)
• Neue F5-Sicherheitsprodukte und Bedrohungsforschung verbessern den App-Schutz (Pressemitteilung)