SSL/TLS: Sichtbarkeit reicht nicht aus, Sie brauchen Orchestrierung
Die Veröffentlichung der Version 4.0 des SSL Orchestrator von F5 Networks löst eines der schwierigsten Sicherheitsprobleme der letzten fünf Jahre: die Transparenz des verschlüsselten Benutzerverkehrs. In Sicherheitsbudgets wurden Milliarden in hochtrabende Sicherheitskontrollen investiert, die großartig sind bei Sandboxing, Deep Packet Inspection und Künstliche Intelligenz, aber blind , wenn es um Verschlüsselung geht . Die Situation ist kritisch, da sich der Anteil des verschlüsselten Benutzerverkehrs laut dem TLS-Telemetriebericht 2017 von F5 Labs seit 2014 mehr als verdoppelt hat und über 80 Prozent liegt. Daher gibt es mittlerweile natürlich SSL-Sichtbarkeitslösungen, die Entschlüsselungsdienste bereitstellen, sodass diese Sicherheitskontrollen sehen können, was sie tun.
Aber Sichtbarkeit allein reicht nicht aus. Sicherheitsteams und Netzwerkbetreiber haben festgestellt, dass das Einrichten von Entschlüsselungszonen nicht einfach ist. Gar nicht einfach. Sicherheitsteams müssen häufig auf manuelles Daisy-Chaining oder mühsame Konfigurationen zurückgreifen, um die Entschlüsselung/Verschlüsselung im gesamten Sicherheits-Stack zu verwalten. Und dann stellen sie fest, dass es viele Ausnahmen gibt. Im Grunde war es ein echter *sieht auf seinen Notizen* Krampf.
Geben Sie Version 4.0 des SSL Orchestrator von F5 ein, der zwar für Sichtbarkeit sorgt, sich aber durch seine Orchestrierung von der Masse abhebt. Die Orchestrierung ermöglicht eine richtlinienbasierte Verkehrssteuerung für eine Servicekette auf Grundlage von Risiken und dynamischen Netzwerkbedingungen.
Da SSL Orchestrator ein vollständiger Proxy sowohl für SSL/TLS als auch für HTTP ist, kann es intelligente Entscheidungen treffen, um eingehenden und ausgehenden Datenverkehr an Serviceketten innerhalb des Sicherheits-Stacks zu lenken. Keine andere Lösung kann das leisten.
Die wichtigste Erkenntnis – falls Sie den nachfolgenden Text nicht gelesen haben – ist, dass der SSL Orchestrator Ihnen die Transparenz Ihrer Millionen Dollar teuren Inspektionshardware zurückgeben kann, ganz gleich, wie kompliziert Ihre Anforderungen an die ein- und ausgehende Verschlüsselung sind.
Dynamischere Serviceverkettung
F5 führte das Konzept der Sicherheitsdienstverkettung in den früheren Versionen des SSL Orchestrator ein. Verschiedene Arten von Netzwerkverkehr sollten unterschiedlichen Überprüfungen unterzogen werden, oder? Beispielsweise sollte der ausgehende Datenverkehr von Administrator-Arbeitsstationen strengstens geprüft werden und alle vorhandenen Sicherheitskontrollen unverschlüsselt passieren. VDI-Sitzungen von Vertragspartnern der Geschäftseinheiten können die Sandbox und das IPS jedoch auf ihrem Weg nach draußen überspringen.
Version 4.0 verbessert die Verkettung der Sicherheitskontrolle , den Lastenausgleich und die Überwachungsmethoden auf bemerkenswerte Weise, wie unten beschrieben.
Sichtbarkeit wird (noch) sichtbarer!
Wenn Sie denken, dass das kompliziert oder verwirrend klingt, bleiben Sie auch dann bei uns, wenn Sie mitten im Satz nervös werden, denn der SSL Orchestrator macht die Service-Verkettung zum Kinderspiel! Mit dem Visual Policy Editor (VPE) des Orchestrators können Sie Ketten per Drag-and-Drop in Ihre Architektur ziehen, sodass Sie tatsächlich sehen können, wie die Verkehrssichtbarkeit aktiviert wird.
Sichtbarkeit: Nicht mehr nur für HTTPS
Natürlich läuft der Großteil Ihres Datenverkehrs über HTTPS, aber wenn Sie eine größere Organisation sind und alle möglichen Protokolle durch Ihr Kit laufen, verarbeiten Sie möglicherweise auch FTP(S), IMAP, POP3 und ICAP. Und aufgrund des jüngsten Fokus auf opportunistische Verschlüsselung verwenden viele Applications STARTTLS für diese Dienste. Sie denken wahrscheinlich: „Das ist VIEL zu fortgeschritten für F5.“ Da liegen Sie falsch, Kenny, denn SSL Orchestrator kann jetzt opportunistische Verschlüsselungen wie STARTTLS innerhalb von FTP, IMAP, POP3 und ICAP erkennen und korrekt entschlüsseln.
ICAP optimieren
Bei den meisten von uns integrierten ICAP-Diensten handelt es sich um Antivirendienste (AV). AV kann (offensichtlich) erhebliche Latenz hinzufügen, daher wurden bei SSL Orchestrator einige Optimierungen vorgenommen. Sie können jetzt Richtlinien erstellen, die nur bestimmte Arten von Anfragen/Antworten über ICAP senden. Ein gängiges Beispiel ist das Scannen nur von POST-Anfragen und das Umgehen der restlichen Nutzdaten. Wir sagen nicht, dass das die empfohlene Vorgehensweise ist, aber die Leute wollen es, also haben wir es ihnen gegeben.
All das und eine Tüte Chips
Wenn Sie mehr über die wertvollen Inhaltsstoffe der Version 4.0 des SSL Orchestrator erfahren möchten, finden Sie hier eine Reihe von Stichpunkten (und Links zu weiteren Informationen weiter unten).
Was ist neu in Version 4.0
- Aktualisiertes Setup-Dienstprogramm mit Funktionen zur Ressourcenbereitstellung
- Überprüfung des gesamten Datenverkehrs auf Malware und Datenexfiltration
- Flexible Bereitstellungsmodi zur Integration in Ihre gesamte Sicherheitsinfrastruktur
- Analyse und erweiterte Protokollierungseinstellungen und -kategorien
- L7 Application für bestimmten Datenverkehr (IMAP, SMTPS, POP3, FTP, HTTP)
- Hohe Verfügbarkeit mit erstklassigem Lastenausgleich, Integritätsüberwachung und SSL-Offload-Funktionen
Und zum Schluss: Denken Sie daran: Sie müssen Ihren ein- und ausgehenden Datenverkehr auf zukünftige Bedrohungen prüfen. SSL Orchestrator ist das Tool, mit dem Ihre Sicherheitskontrollen dafür sorgen, dass der Name Ihres Unternehmens nicht in den (bildlichen) Papieren auftaucht und diese lästigen Bußgelder im Zusammenhang mit der DSGVO nicht drohen.