Da Advanced Persistent Threats (APTs) die Malware-Landschaft dominieren, bietet die signaturbasierte Erkennung keinen ausreichenden Schutz mehr für diese sich schnell entwickelnde Bedrohungsumgebung. Die signaturbasierte Erkennung beruht darauf, dass die Anbieter Signaturaktualisierungen für ihre Plattformen bereitstellen. Leider zielen viele der heutigen Bedrohungen darauf ab, eine bestimmte Organisation zu infiltrieren. Sie werden einmal eingesetzt und dann neu verpackt und modifiziert, um einer Erkennung zu entgehen.
Im Gegensatz zu begrenzten Lösungen zur Angriffserkennung und -prävention fangen Systeme zum Schutz vor erweiterten Bedrohungen (Advanced Threat Protection, ATP) verdächtige Objekte ab und führen sie aus, bevor sie die Leitung passieren. So wird sichergestellt, dass der überprüfte Datenverkehr keine Gefahr für den Endpunkt darstellt. ATP-Systeme können auch eine noch nie dagewesene Bedrohung stoppen, beispielsweise einen Zero-Day-Angriff.
Da ATP-Systeme Malware so effektiv stoppen können, werden immer mehr dieser Systeme eingesetzt, um einen zunehmenden Anteil des ein- und ausgehenden Datenverkehrs zu schützen. Der zunehmende Einsatz von ATP-Systemen hat jedoch drei Bereiche zutage gefördert, in denen sie durch den Einsatz ergänzender Technologien, die ihre Wirksamkeit erhöhen, weiter gestärkt werden können: SSL/TLS-Unterstützung, hohe Verfügbarkeit und Verkehrssteuerung. In diesem Dokument wird erläutert, wie die Lösungen von F5 und FireEye zusammenarbeiten, um in diesen drei Bereichen eine verbesserte Leistung und bessere Ergebnisse zu erzielen.
Zahlreiche Trends erfordern eine verbesserte SSL/TLS-Prüfung. Dazu gehören die zunehmende Nutzung von SSL/TLS, eine erhöhte Komplexität (wie etwa längere Schlüssel) bei kryptografischen Protokollen und ein Trend bei den „bösen Jungs“, bösartige Payloads zu verschlüsseln, damit sie nicht erkannt werden können. Diese Trends stellen eine immer größere Belastung für bestehende ATP-Systeme dar und waren eine treibende Kraft hinter der Entwicklung von F5® SSL Orchestrator™, einer Lösung, die eine leistungsstarke Entschlüsselung und Neuverschlüsselung von eingehendem und ausgehendem SSL/TLS-Datenverkehr, dynamisches Service-Chaining und eine richtlinienbasierte Datenverkehrssteuerung für eine intelligente Verwaltung verschlüsselter Datenflüsse über die gesamte Sicherheitskette hinweg bietet – wodurch ATP-Systeme sich ausschließlich auf die Erkennung bösartiger Objekte konzentrieren können.
F5 SSL Orchestrator verleiht Ihren Systemen zur Bedrohungserkennung und -minderung mehr Flexibilität und verbessert Ihre Fähigkeit zur unterbrechungsfreien Skalierung erheblich. Wie bei jeder Lösung kann es auch bei ATP-Systemen und ihren kritischen Sensoren zu Ausfällen kommen, die leicht zu einer Blockierung des Datenverkehrs führen können. F5 SSL Orchestrator trägt dazu bei, sicherzustellen, dass kritische Sites ihre Verfügbarkeits- und Betriebszeitziele auch bei einem Sensor- oder Geräteausfall erreichen. F5 SSL Orchestrator verteilt den Datenverkehr intelligent über mehrere ATP-Systeme und stellt so sicher, dass eine Site auch bei einem Sensorausfall oder einer Überlastung verfügbar bleibt. Darüber hinaus ermöglicht diese Konfiguration Administratoren, Sensoren hinzuzufügen oder zu entfernen, ohne die Gesamtverfügbarkeit der Site zu beeinträchtigen.
In Kombination mit FireEye Network Security bietet F5 SSL Orchestrator flexible Bereitstellungsoptionen und Skalierbarkeit für optimalen Bedrohungsschutz. Beim Einsatz auf der Verbindung zwischen einem Intranet und dem Internet erstellt F5 SSL Orchestrator eine Entschlüsselungs-/Klartextzone zwischen dem Client und dem Webserver, die als Aggregationssichtbarkeitspunkt für FireEye-Sicherheitsgeräte zur Überprüfung des Datenverkehrs dient. Mit SSL/TLS-Verwaltung und Einblick in den eingehenden und ausgehenden SSL/TLS-Verkehr sowie Optionen für Inline- und Out-of-Band-Bereitstellungen können APTs schnell und effizient in Echtzeit eingedämmt werden. Auf diese Weise können Administratoren schädliche Daten unter Quarantäne stellen oder löschen, bevor diese in das Netzwerk eindringen.
Abbildung 1 zeigt die umfassende Lösung aus F5 SSL Orchestration und FireEye, die die gesamten Möglichkeiten der kombinierten Technologien nutzt, um elastische Skalierbarkeit und Service-Chaining bereitzustellen.
F5 SSL Orchestrator inline im Webverkehr bereitgestellt:
1. Entschlüsselt SSL-Verkehr zur Übermittlung an den FireEye Network Security-Pool.
2. Verschlüsselt SSL-Datenverkehr, der durch das FireEye Network Security-Gerät geleitet wurde.
3. Führt einen Lastenausgleich im FireEye-Pool durch und sorgt so für optimale Verfügbarkeit.
4. Aktiviert eine Pool-Umgehung, wenn alle Mitglieder ausgefallen sind.
5. Bestimmt, ob der Datenverkehr entschlüsselt werden soll oder ob er den FireEye-Pool ohne Entschlüsselung umgehen kann, wodurch die Gerätelast reduziert wird.
Diese Architektur ermöglicht den FireEye-Geräten einen höchst effizienten und leistungsfähigeren Betrieb ohne Beeinträchtigung des Datendurchsatzes. Die Schlüsselverwaltung erfolgt zentral im F5 SSL Orchestrator. Dadurch muss der FireEye-Pool keine SSL-Funktionen ausführen, hat aber dennoch volle Transparenz über den Datenverkehr.
Dank der dynamischen Service-Verkettung und der richtlinienbasierten Verkehrssteuerung von F5 SSL Orchestrator können Sie verschlüsselte Datenströme über die gesamte Sicherheitskette hinweg intelligent und bei optimaler Verfügbarkeit verwalten. Durch die Verkehrssteuerung kann der ATP-Pool für Datenverkehr umgangen werden, der keiner Entschlüsselung bedarf (z. B. VDI). Dadurch wird die effektive Kapazität des Pools erhöht. Diese Konfiguration ermöglicht auch im Falle einer Verlangsamung oder eines Ausfalls der FireEye-Sensoren einen kontinuierlichen Verkehrsfluss. Auf diese Weise schützt die Architektur den Datenverkehr optimal, indem sie Bedrohungen aufdeckt und Angriffe stoppt, während gleichzeitig die Effizienz gesteigert und Leistungsengpässe beseitigt werden.
Die heutigen gewaltigen Sicherheitsherausforderungen erfordern sowohl einen erweiterten Schutz vor Bedrohungen als auch die Fähigkeit, die Application sicherzustellen. F5 und FireEye arbeiten zusammen, um Lösungen bereitzustellen, die die effektivste Technologie, Intelligenz und Expertise bieten, um böswillige Aktivitäten zu identifizieren und zu stoppen, bevor sie auftreten können. Mit den Lösungen von F5 und FireEye können Sie dank verbesserter SSL-Sichtbarkeit versteckte Bedrohungen erkennen, durch dynamische Service-Verkettung und richtlinienbasierte Verkehrssteuerung optimale Sicherheit und Leistung gewährleisten, erweiterten Bedrohungsschutz mit größerer Skalierbarkeit bieten und durch verbesserte Architektur die Betriebseffizienz steigern.
Um zu erfahren, wie F5 und FireEye Ihrem Unternehmen zum Erfolg verhelfen können, besuchen Sie f5.com/fireeye .