Ressourcen White Papers

Abwehr verschlüsselter Bedrohungen und Gewährleistung sicherer Verschlüsselung

Einführung

Fast jede Organisation weltweit bewegt sich in Richtung digitale Transformation. Ein Wandel, der durch die Notwendigkeit der Erfassung und Übermittlung sensibler Daten – Benutzerdaten, Kundendaten, Patientendaten und Unternehmensdaten – vorangetrieben wird. Kurz gesagt: Unser heutiges Leben dreht sich um Daten. Es ist wichtig, dass die Daten vertraulich und sicher bleiben.

Applications sind die Gateways zu Daten. Daher ist die Sicherung von Apps, wo auch immer sie sich befinden, für die Sicherheit und das Geschäft eines Unternehmens von entscheidender Bedeutung, unabhängig von der Branche.

Die Sicherheit und der Schutz vertraulicher Daten sind so wichtig, dass neue staatliche Regeln und Vorschriften geschaffen werden, um die Datensicherheit innerhalb von Organisationen zu gewährleisten. Und diese Regeln gelten unabhängig davon, ob sich die Organisation oder die erfassten Daten innerhalb der Grenzen der Verwaltungseinheit befinden oder nicht.

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) verpflichtet Organisationen, die innerhalb der EU tätig sind, sicherzustellen, dass personenbezogene Daten rechtmäßig und mit vorheriger Zustimmung der betreffenden Person erhoben und geschützt werden. In den USA spiegelt das neue California Consumer Protection Act (CCPA) viele der Schutzbestimmungen der DSGVO wider und wird von anderen Staaten als Modell für die Gesetzgebung zum Schutz der Privatsphäre der Verbraucher bewertet.

Diese Regeln und Vorschriften sollen für Transparenz sorgen und den Kunden mehr Kontrolle über ihre persönlichen Daten und deren Umgang nach der Erfassung geben. Kommt es in einer Organisation zu einer Sicherheitsverletzung und gehen vertrauliche Daten verloren, werden sie gestohlen oder missbraucht oder ausgenutzt, kann die betroffene Organisation mit hohen Geldstrafen belegt werden.

Zumindest gilt die Verschlüsselung als bewährte Methode zum Schutz vertraulicher Informationen. Tatsächlich gilt es als fahrlässig, Daten nicht durch Verschlüsselung zu schützen.  Allerdings hat die Verschlüsselung zwei Seiten.

Verschlüsselung: Die Vorteile

Es gibt mehrere Möglichkeiten, die Sicherheit und den Schutz Ihrer Daten zu gewährleisten. Die beste Methode ist jedoch die Verschlüsselung.

Der Großteil des Datenverkehrs ist heute verschlüsselt. Fast alle Websites verwenden Verschlüsselung. Das schnelle Wachstum und die anhaltende Nutzung von Online-Produktivitäts-Apps wie Microsoft Office 365 und Google G Suite, Cloud-basierten Applications, Software-as-a-Service (SaaS)-Apps und sozialen Netzwerken haben zum anhaltenden Wachstum des verschlüsselten Datenverkehrs beigetragen.

Durch die Verschlüsselung von Daten können Sie deren Vertraulichkeit und Integrität gewährleisten und wahren.

Verschlüsselung: Die Nachteile

Allerdings hat die Verschlüsselung auch eine gefährliche Kehrseite: Angreifer haben erkannt, dass verschlüsselter Datenverkehr eine hervorragende Möglichkeit ist, Malware und andere schädliche Nutzdaten an ahnungslose Benutzer und ihre Organisationen zu übermitteln. Darüber hinaus ist es eine gute Möglichkeit, Benutzern und Organisationen gestohlene Daten zu entwenden.

Um sich vor im verschlüsselten Datenverkehr verborgenen Bedrohungen zu schützen, müssen Unternehmen zumindest Einblick in den eingehenden und ausgehenden verschlüsselten Datenverkehr haben. Durch Einblick in und Überprüfung des verschlüsselten eingehenden Datenverkehrs werden Sicherheitslücken vermieden. Darüber hinaus verringert es das Risiko von im verschlüsselten Datenverkehr versteckter Schadsoftware und die Schwachstellen, die zum Zugriff auf vertrauliche Daten führen können.

Die Transparenz des verschlüsselten ausgehenden Datenverkehrs ist ebenfalls wichtig, da dieser Datenverkehr die Exfiltration gestohlener Daten verschleiern kann. Darüber hinaus kann es die Kommunikation von bereits in einem Netzwerk oder einer Cloud-Umgebung verankerter Schadsoftware gegenüber Command-and-Control-Servern (CnC) maskieren, die Angriffe auslösen oder versuchen können, vorhandene Schadsoftware herunterzuladen und in einen mehrstufigen, mehrsträngigen Angriff zu erweitern.

Angreifer können außerdem zusätzliche Schadsoftware herunterladen und sich seitlich innerhalb einer Organisation bewegen oder sogar über die ursprüngliche Organisation hinaus vordringen, um deren Kunden oder Lieferkette anzugreifen, wobei sie mehr Geräte und Server infizieren und mehr Informationen und Daten stehlen.

Warum SSL-Sichtbarkeit nicht ausreicht

Die SSL-Sichtbarkeit ist jedoch nur der Anfang. Organisationen benötigen eine bessere Kontrolle über verschlüsselten und entschlüsselten Datenverkehr – jedoch nicht auf Kosten der Leistungsfähigkeit ihrer Sicherheitslösungen.

Viele Unternehmen investieren erheblich in ihre Sicherheitslösungen und wählen hochwertige Funktionen zur Ausführung bestimmter Aufgaben aus, etwa die Erkennung von Malware, Sandboxing und das Blockieren von Applications und Webeigenschaften – um nur einige zu nennen.  Zwar verfügen Sicherheitslösungen über native Entschlüsselungsfunktionen, ihr Hauptzweck oder Schwerpunkt besteht jedoch nicht in der Entschlüsselung und Verschlüsselung.

Ohne eine spezielle Lösung für die Entschlüsselung im großen Maßstab erfordert die SSL-Transparenz, dass die meisten Unternehmen den verschlüsselten Datenverkehr durch eine End-to-End-Kette von Sicherheitsdiensten leiten. Im Wesentlichen muss es die statische Verkettung eines sich wiederholenden, redundanten Prozesses aus Entschlüsselung/Überprüfung/Neuverschlüsselung über den gesamten Sicherheitsstapel hinweg durchlaufen.

Dieser Prozess ist nicht nur ineffizient, er verbraucht auch wertvolle Zeit und Ressourcen. Es kann auch zu zusätzlichen Latenzen kommen, die sich negativ auf das Benutzererlebnis auswirken. Darüber hinaus muss jedes der in Reihe geschalteten Sicherheitsgeräte gleichmäßig skaliert werden, um die gesamte Kapazität des verschlüsselten Datenverkehrs abzudecken, was leicht zu einer Überbuchung führen kann. Und das bedeutet höhere Kosten für Sicherheitsdienste.

SSLO Fips HSM
F5 SSL Orchestrator unterstützt verschiedene Optionen für Hardware-Sicherheitsmodule (HSMs).

Wie F5 SSL Orchestrator helfen kann

F5 SSL Orchestrator stellt sicher, dass verschlüsselter Datenverkehr entschlüsselt, durch die entsprechenden Sicherheitskontrollen überprüft und dann erneut verschlüsselt wird. Dadurch wird Einblick in den verschlüsselten Datenverkehr ermöglicht und das Risiko verborgener Bedrohungen verringert.

SSL Orchestrator ist auf die Verbesserung der SSL/TLS-Infrastruktur ausgerichtet und maximiert außerdem die Effektivität vorhandener Sicherheitsinvestitionen. Es verkettet Sicherheitsdienste dynamisch und steuert entschlüsselten Datenverkehr über Richtlinien, wobei kontextbasierte Intelligenz auf den verschlüsselten Datenverkehr angewendet wird.

SSL Orchestrator verwaltet und verteilt die neuesten Verschlüsselungstechnologien zentral über die gesamte Sicherheitsinfrastruktur. Es zentralisiert die Zertifikats- und Schlüsselverwaltung und bietet gleichzeitig eine robuste Verschlüsselungsverwaltung und -kontrolle.

Darüber hinaus bietet es eine einzige Plattform für die einheitliche Überprüfung von Verschlüsselungsprotokollen der nächsten Generation. SSL Orchestrator stellt sicher, dass Sicherheitslösungen mit maximaler Effizienz arbeiten und über die Lastausgleichs- und Skalierungsfunktionen von F5 mit hoher Verfügbarkeit skaliert werden können. Und es überwacht unabhängig die Integrität jedes Sicherheitsdienstes.

Als zentraler Punkt für alle Verschlüsselungsangelegenheiten muss SSL Orchestrator sicherstellen, dass seine Umgebung – ob physisch oder virtuell – die strengsten und robustesten staatlichen und branchenweiten Standards für Sicherheit und Datenschutz unterstützt.

Schutz von Schlüsseln und Sicherheitsparametern

Um SSL-Sichtbarkeit zu gewährleisten, ist eine robuste Schlüsselverwaltungsinfrastruktur (PKI) von entscheidender Bedeutung.  Schlüsselverwaltung und Schlüsselschutz sowie deren ordnungsgemäße Verwendung sind häufig mit gesetzlichen Vorschriften verbunden, beispielsweise dem Federal Information Processing Standard 140.2 (FIPS 140-2), Common Criteria, Standards der Internationalen Organisation für Normung (ISO) und anderen regionalen oder branchenspezifischen Zertifizierungen.

FIPS 140-2, obwohl es sich um ein US-Unternehmen handelt. Der Standard des National Institute of Standards and Technology (NIST) ist in vielen stark regulierten Märkten weltweit zu finden und wird dort angewendet. Er bietet Leitlinien für die Verwendung von Krypto und die Validierung der Implementierung.

Es gibt mehrere unterschiedliche Ebenen von FIPS 140-2, die sich auf Vorschriften, Risiken und Sensibilität der Daten beziehen. Bei Bereitstellungen mit SSL-Sichtbarkeit ist häufig FIPS 140-2 Level 3 erforderlich, um den Signaturschlüssel in einem manipulationssicheren physischen Hardwaregehäuse zu schützen, das als Hardware-Sicherheitsmodul (HSM) bezeichnet wird. Ein HSM umfasst die Nullung von Schlüsseln, Integritätsprüfungen beim Start und Kontrollen zur Verhinderung der unbefugten Schlüsselextraktion. HSMs bieten mehr als nur verbesserte Schlüsselsicherheit; sie können auch dazu beitragen, die Zertifikatsverwaltung zu vereinfachen und die Compliance-Kosten zu senken.

F5 bietet die größte Auswahl an FIPS-konformen Plattformen, darunter mehrere HSM-Optionen, sowohl vor Ort als auch über Public Key Cryptography Standards #11 (PKCS #11) für Netzwerk-HSMs.  Je nach ausgewählter SSL Orchestrator-Lizenz und Modell stehen verschiedene FIPS 140-2-Stufen zur Verfügung, darunter verschiedene Preisoptionen, um sicherzustellen, dass die Richtlinieneinhaltung für jede Organisation möglich ist, unabhängig von ihrer Größe.

Also, warum SSL Orchestrator?

F5 SSL Orchestrator bietet beispiellose, ganzheitliche Transparenz im verschlüsselten Datenverkehr und mindert Risiken im Zusammenhang mit Malware und anderen bösartigen Bedrohungen, die durch eingehenden verschlüsselten Datenverkehr maskiert werden. SSL Orchestrator verhindert außerdem die Datenexfiltration, CNC-Kommunikation und das Herunterladen zusätzlicher Malware und böswilliger Nutzdaten im ausgehenden, verschlüsselten Datenverkehr.

Darüber hinaus ermöglicht SSL Orchestrator durch seine zentralisierte Entschlüsselungs- und Neuverschlüsselungsfunktion, seine dynamischen Serviceketten und seine intelligente Verkehrssteuerung die Ausführung hochwertiger Sicherheitsfunktionen im großen Maßstab und entlastet so die CPU-intensive Entschlüsselung/Verschlüsselung auf sichere Weise. Dadurch können Sicherheitsinvestitionen leichter maximiert werden.

Diese Maßnahmen schließen nicht nur Sicherheitslücken und versteckte Bedrohungen, sondern ermöglichen auch, dass vorhandene Sicherheitslösungen ihre Hauptfunktionen optimal erfüllen können: Bedrohungsschutz bieten, Datenlecks verhindern, Sandboxing durchführen und andere relevante Sicherheitsdienste nutzen.

SSL Orchestrator bietet mehrere Lizenzierungsoptionen für kleine und mittlere Unternehmen (KMU), moderne Großunternehmen und die Cloud.  Mit mehreren Plattformoptionen, einschließlich Virtual Editions (VEs), sowie Geräten der mittleren bis oberen Preisklasse verfügt F5 über Lösungen, um den Änderungen im verschlüsselten Datenverkehr und den Änderungen bei Chiffren und Protokollen gerecht zu werden, einschließlich TLS 1.3, den IoT-Geräten von morgen und letztendlich Post-Quanten-Chiffre-Schemata.

Veröffentlicht am 01. Juli 2019
  • Auf Facebook teilen
  • Teilen mit X
  • Auf Linkedin teilen
  • Teilen per E-Mail
  • Teilen über AddThis

Verbinden mit F5

F5 Labs

Die neuesten Erkenntnisse im Bereich Anwendungsbedrohungsinformationen.

Zu F5 Labs

DevCentral

Die F5-Community für Diskussionsforen und Expertenartikel.

Zu DevCentral

F5-Newsroom

Neuigkeiten, F5-Blogs und mehr.

Zum Newsroom