ABSCHNITT 3
Aufgrund des Wachstums des SSL/TLS-Verkehrs waren Unternehmen gezwungen, Lösungen zu finden, mit denen ihr Netzwerk und ihre Anwendungen den gestiegenen Anforderungen einer weit verbreiteten Verschlüsselung gerecht werden können.
. . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . .
Nichtstun ist ein Rezept für eine Katastrophe
Viele Organisationen sind mit ihrem vorhandenen Sicherheits-Stack nicht darauf vorbereitet, in verschlüsseltem Datenverkehr versteckte Malware zu erkennen. Da Angreifer ihren Schadcode jedoch immer häufiger in Datenverkehr verstecken, den Sicherheitsgeräte nicht sehen können, ist die Option, nichts zu tun, ein Rezept für eine Katastrophe. Darüber hinaus wird das Geld für die Inspektionswerkzeuge und der damit verbundene Wartungsaufwand verschwendet. Oberflächlich betrachtet scheint es mehrere Möglichkeiten zu geben – doch nur eine davon ist wirklich effektiv.
01 | Alles entschlüsseln?
Bevor der Datenschutz der Benutzer zu einem wichtigen Thema wurde, beendeten viele Organisationen SSL/TLS an ihrem Zugangspunkt und ließen innerhalb ihrer Rechenzentren alles frei im Klartext fließen.
Da die DSGVO und andere Vorschriften nun in Kraft sind und der Datenschutz aufgrund spektakulärer Verstöße und Missbräuche in den Nachrichten ist, ist dies keine praktikable Option mehr. Abhängig von der Art der von Ihnen erfassten Daten und der entsprechenden Gerichtsbarkeit unterliegen Sie möglicherweise unterschiedlichen Datenschutzgesetzen und -vorschriften.
02 | Eine Entschlüsselungszone einrichten
Einige Sicherheitsteams richten eine Entschlüsselungszone (Air Gap) ein, in der sie eingehenden und/oder ausgehenden Datenverkehr entschlüsseln, bevor sie ihn durch eine Daisy-Chain aus Sicherheitsprüftools leiten und anschließend erneut verschlüsseln.
Mit dieser Lösung lässt sich zwar versteckte Malware zumindest aufdecken, sie führt jedoch zu einer komplexeren Weiterleitung und erschwert Änderungen an der Architektur. Außerdem kann es zu katastrophalen Ausfällen kommen, wenn Inline-Sicherheitsgeräte versagen.
03 | Orchestrierung
Die effektivste Wahl ist die Orchestrierung. Indem Sie sowohl Ihren eingehenden als auch Ihren ausgehenden Datenverkehr mit richtlinienbasierter Entschlüsselung und Verkehrssteuerung steuern, können Sie die Orchestrierung Ihrer Sicherheitsgeräte wie ein Maestro durchführen.
Eine leistungsstarke SSL/TLS-Orchestrierungslösung verbessert die Sichtbarkeit und schützt Ihre Apps, während sie gleichzeitig die Sicherheit, Effizienz und Belastbarkeit Ihres Sicherheits-Stacks erhöht. Es gibt nur einen SSL-Entschlüsselungs- und Neuverschlüsselungsvorgang, sodass Sie die Latenz des Daisy-Chain-Ansatzes automatisch beseitigen.
Dieser Prozess ist so wichtig, dass die NSA eine Empfehlung mit dem Titel „Managing Risk from Transport Layer Security Inspection“ (Risikomanagement durch Transportschichtsicherheitsinspektion) veröffentlicht hat. In der Empfehlung heißt es, dass zur Risikominimierung das Unterbrechen und Überprüfen des TLS-Verkehrs nur einmal innerhalb des Unternehmensnetzwerks durchgeführt werden sollte. Die Empfehlung rät außerdem dringend von redundantem TLSI ab, bei dem ein Client-Server-Datenverkehr von einem Forward-Proxy entschlüsselt, geprüft und neu verschlüsselt und dann zur weiteren Verwendung an einen zweiten Forward-Proxy weitergeleitet wird.
Durch die Orchestrierung Ihres SSL/TLS-Verkehrs können Sie die Effizienz Ihrer Sicherheitslösungen maximieren und gleichzeitig die Leistung kritischer Anwendungen optimieren.
Erkennen Sie verschlüsselte Bedrohungen mit SSL-Transparenz
Tools zur Sicherheitsüberprüfung erkennen SSL/TLS-Verkehr zunehmend nicht mehr. Zwar verfügen einige Sicherheitslösungen über native Entschlüsselungsfunktionen, doch besteht ihr Hauptzweck oder Schwerpunkt nicht darin, Entschlüsselung und Verschlüsselung im großen Maßstab durchzuführen. Ohne diese Funktion muss der verschlüsselte Datenverkehr die statische Daisy-Chain eines wiederholten Entschlüsselungs-/Überprüfungs-/Neuverschlüsselungsprozesses über den gesamten Sicherheitsstapel durchlaufen.
Dieser Vorgang verbraucht wertvolle Zeit und Ressourcen, führt zu Latenzen und beeinträchtigt das Benutzererlebnis. Außerdem kann es leicht zu einer Überbuchung kommen, was höhere Kosten für überdimensionierte Sicherheitsdienste bedeutet.
F5 SSL Orchestrator stellt mit seiner vollständigen Proxy-Architektur und dynamischen Service-Verkettung einen echten Paradigmenwechsel im Umgang mit Malware in Ihrer Umgebung dar. Schützen Sie sich mit SSL-Sichtbarkeit vor verschlüsselten Bedrohungen.
BEREIT, VERSCHLÜSSELTE MALWARE ZU STOPPEN?
Da SSL Orchestrator als vollwertiger Proxy sowohl für SSL/TLS als auch für HTTP fungiert, kann es intelligente Entscheidungen treffen, um eingehenden und ausgehenden Datenverkehr an Serviceketten innerhalb des Sicherheits-Stacks zu lenken, unabhängig davon, wie kompliziert Ihre Anforderungen an die ein- und ausgehende Verschlüsselung sind.
Informieren Sie sich, wie SSL Orchestrator Einblick in den verschlüsselten eingehenden Anwendungsverkehr bietet – einschließlich der dynamischen Verkettung von Sicherheitsdiensten und der kontextbasierten Verkehrssteuerung.
ERFAHREN SIE MEHR ÜBER DEN SCHUTZ VOR VERSCHLÜSSELTEN BEDROHUNGEN
Verschlüsselte Malware: Die versteckte Bedrohung
In Abschnitt 1 erfahren Sie, wie Angreifer mithilfe der Verschlüsselung Schadsoftware in das Netzwerk einschleusen und Ihre Daten stehlen können.
Ist TLS 1.3 die Lösung?
Abschnitt 2 erläutert die Funktionen von TLS 1.3 und befasst sich mit Strategien zur Einführung des neuesten Verschlüsselungsprotokolls.
Überprüfen verschlüsselter Pakete
In Abschnitt 3 erfahren Sie, warum die Transparenz des verschlüsselten Datenverkehrs für den Schutz Ihres Netzwerks und Ihrer Anwendungen von entscheidender Bedeutung ist.
Die Vorteile der Orchestrierung
Abschnitt 4 untersucht, wie die SSL/TLS-Orchestrierung dazu beitragen kann, die Effektivität und den ROI Ihrer Sicherheitslösungen zu maximieren.
SPRECHEN SIE MIT DEN SICHERHEITSEXPERTEN VON F5
Haben Sie eine Sicherheitsfrage, ein Problem oder etwas anderes, das Sie besprechen möchten? Wir freuen uns auf Ihre Nachricht!
Wir werden Sie innerhalb eines Werktages per E-Mail kontaktieren.