Strukturierung von SSL Orchestrator und Cisco Web-Sicherheit Appliance über Netzwerktopologien hinweg
Der Datentransfer zwischen Clients (Computern, Tablets, Telefonen usw.) und Servern erfolgt überwiegend mit Secure Sockets Layer (SSL) oder der moderneren, sichereren Transport Layer Security (TLS). (Als Referenz siehe die Zusammenfassung des TLS-Telemetrieberichts 2019 von F5 Labs). Aufgrund der allgegenwärtigen Verschlüsselung von heute sind Bedrohungen verborgen und für die Sicherheitskontrolle unsichtbar, sofern der Datenverkehr nicht entschlüsselt wird.
Die Entschlüsselung und Verschlüsselung von Daten durch verschiedene Geräte, die Sicherheitsfunktionen ausführen, wie etwa Cisco Web-Sicherheit Appliance (WSA), erhöht möglicherweise den Overhead und die Latenz. Zusätzlich zu den Herausforderungen hinsichtlich der SSL-Sichtbarkeit und der fragmentierten Natur des Sicherheits-Stacks ist es für Unternehmen eine Herausforderung, eine umfassende Sicherheitsstrategie mit längerer Lebensdauer zu entwickeln.
Diese Systemreferenzarchitektur deckt die verschiedenen Möglichkeiten der Strukturierung der SSL Orchestrator- und Cisco WSA-Produkte über Netzwerktopologien hinweg ab und befasst sich mit Herausforderungen in Bezug auf Sichtbarkeit, Datenschutz und Einhaltung gesetzlicher Vorschriften.
F5 SSL Orchestrator sitzt zwischen der IT-Infrastruktur und dem Internet und erstellt eine Entschlüsselungszone, die Sie zur Überprüfung verwenden können. Innerhalb der Entschlüsselungszone können Sicherheitsgeräte wie Cisco FTD auf die Daten zugreifen, um versteckte Bedrohungen wie Malware zu erkennen und einzudämmen.
Mithilfe der erweiterten SSL/TLS-Entschlüsselungstechnologie, der starken Verschlüsselungsunterstützung und den flexiblen Architekturen von F5 können Sie die Ressourcennutzung optimieren, Latenzen beseitigen und die Ausfallsicherheit Ihrer Sicherheitsinspektionsinfrastruktur erhöhen. Da die gesamte Kommunikation über SSL Orchestrator läuft, dient es auch als strategischer Kontrollpunkt, an dem Richtlinien zur Bewältigung betrieblicher Risiken (Leistung, Verfügbarkeit und Sicherheit) durchgesetzt werden.
SSL Orchestrator bietet eine leistungsstarke Entschlüsselung sowohl des eingehenden (von Internetbenutzern zu Applications) als auch des ausgehenden (von Unternehmensbenutzern zum Internet) SSL/TLS-Datenverkehrs. Wie in Abbildung 1 dargestellt, wird ausgehender Datenverkehr entschlüsselt und zur Überprüfung und Erkennung an das Cisco WSA-System gesendet.
Abbildung 1: Ausgehender Datenverkehr wird entschlüsselt und an Cisco WSA gesendet.
Unterschiedliche Umgebungen erfordern unterschiedliche Architekturen. SSL Orchestrator wird in verschiedenen Formfaktoren und Größen angeboten, um unterschiedlichen Architekturanforderungen gerecht zu werden.
Formfaktor |
Kapazitätsoptionen |
F5 SSL Orchestrator iSeries-Plattform |
Die leistungsstarke SSL Orchestrator iSeries-Hardware ist für die Bereitstellung von Entschlüsselungsdurchsätzen von 1 GB, 5 GB, 10 GB und 20 GB optimiert und eignet sich ideal für regionale und zentrale Unternehmensstandorte. |
F5® BIG-IP® Virtuelle Edition |
Mit der leistungsstarken virtuellen Edition des SSL Orchestrators kann die SSL-Entschlüsselungsarchitektur erweitert werden, um auch kleinere Bürostandorte einzubeziehen. |
F5® VIPRION®-Plattform (Chassis) |
Die High-End -Plattform VIPRION bietet Entschlüsselungsdurchsätze von über 100 GB und bietet die Möglichkeit, ein immer größeres Volumen an Netzwerkverkehr zu aggregieren und zu verwalten. Dank des modularen Designs und der Clustering-Funktionen lässt sich VIPRION problemlos skalieren, wenn sich die Netzwerkanforderungen ändern. |
Ein typischer Sicherheitsstapel besteht oft aus mehreren Systemen, beispielsweise einer Firewall der nächsten Generation (NGFW), Systemen zur Erkennung oder Verhinderung von Angriffen (IDS/IPS), Datenverlustprävention und Tools zur Malware-Analyse. Alle diese Systeme erfordern zur Überprüfung Zugriff auf entschlüsselte Daten.
SSL Orchestrator lässt sich problemlos in vorhandene Sicherheitsarchitekturen integrieren und zentralisiert die SSL/TLS-Entschlüsselung über mehrere Prüfgeräte im Sicherheitsstapel hinweg. Dieses Design nach dem Motto „einmal entschlüsseln und an viele Prüfgeräte weiterleiten“ behebt Latenz-, Komplexitäts- und Risikoprobleme, die auftreten können, wenn jedes einzelne Sicherheitsgerät die Entschlüsselung durchführt. Mit der Kontext-Engine können Sie auch mehrere Serviceketten für unterschiedliche Verkehrsflüsse erstellen.
Abbildung 2: Einmal entschlüsseln und mithilfe der dynamischen Serviceverkettung zum Design vieler Prüfgeräte steuern.
Die Kontext-Engine von SSL Orchestrator bietet die Möglichkeit, den Datenverkehr intelligent zu steuern. Dabei werden Richtlinienentscheidungen anhand von Klassifizierungskriterien, URL-Kategorie, IP-Reputation und Flussinformationen getroffen. Sie können die Kontext-Engine auch verwenden, um die Entschlüsselung bei Anwendungen und Websites wie Finanz-, Behörden-, Gesundheits- und ähnlichen Diensten aus rechtlichen oder Datenschutzgründen zu umgehen.
Abbildung 3: Kontext-Engine, die Service-Chaining und richtlinienbasierte Verkehrssteuerung ermöglicht.
SSL Orchestrator unterstützt eine Active-Standby-HA-Architektur: Ein System verarbeitet aktiv den Datenverkehr, während das andere im Standby-Modus bleibt, bis es benötigt wird. Das Ziel besteht darin, Ausfallzeiten zu verringern und einzelne Fehlerquellen zu beseitigen. Die Systeme synchronisieren automatisch Konfigurations- und Benutzerverbindungsinformationen.
F5 SSL Orchestrator wird entweder im Layer 2- oder im Layer 3-Modus inline bereitgestellt und kann als expliziter oder transparenter Forward-Proxy konfiguriert werden. Und Cisco WSA kann als expliziter oder transparenter Forward-Proxy innerhalb der SSL Orchestrator-Servicekette eingesetzt werden; es kann in beiden Modi auch als Upstream-Proxy für SSL Orchestrator eingesetzt werden, um den entschlüsselten Datenverkehr zur Überprüfung zu empfangen.
Abbildung 4: Cisco WSA-Bereitstellungstopologien, die von F5 SSL Orchestrator unterstützt werden.
Abbildung 5 zeigt, wie SSL Orchestrator in eine Unternehmensarchitektur integriert wird, um die Entschlüsselung des ausgehenden Datenverkehrs über die gesamte Inspektionsinfrastruktur zu zentralisieren.
Abbildung 5: Integration der F5 SSL-Orchestrierung in die Unternehmensnetzwerkarchitektur.
Wie in Abbildung 6 unten dargestellt, unterstützt SSL Orchestrator Link Aggregation mithilfe des IEEE 802.1q VLAN-Tagging-Protokolls, um Link-Redundanz für eine erhöhte Fehlertoleranz bereitzustellen.
Abbildung 6: Link Aggregation für Port-Redundanz.
SSL und sein Nachfolger TLS werden immer häufiger zur Sicherung der IP-Kommunikation im Internet eingesetzt. Das kann gut oder schlecht sein. Gut, denn die gesamte Kommunikation ist vor neugierigen Blicken geschützt. Allerdings kann es auch gefährlich sein, da Angreifer Malware im verschlüsselten Datenverkehr verstecken können. Wenn verschlüsselter Datenverkehr einfach durchgeleitet wird, können Sicherheitssysteme ihn nicht abfangen. Und das macht die gesamte Defense-in-Depth-Strategie mit mehrschichtigen Sicherheitsfunktionen zunichte.
F5 SSL Orchestrator kann mit einem erweiterten Bedrohungsschutzsystem wie Cisco WSA diese SSL/TSL-Herausforderungen lösen, indem die SSL/TLS-Entschlüsselung innerhalb der Unternehmensgrenzen zentralisiert wird. Es kann den entschlüsselten Datenverkehr zur Überprüfung durch den gesamten Sicherheits-Stack orchestrieren, um Zero-Day-Exploits zu identifizieren und zu blockieren. Daher können Sie mit dieser Lösung vorhandene Investitionen in Sicherheitsdienste zum Schutz vor Malware und für Firewalls der nächsten Generation maximieren.
F5 (NASDAQ: FFIV) gibt den weltweit größten Unternehmen, Dienstanbietern, Regierungen und Verbrauchermarken die Freiheit, jede App überall sicher und zuverlässig bereitzustellen. F5 bietet Cloud- und Sicherheitsanwendungsdienste, die es Unternehmen ermöglichen, die Infrastruktur ihrer Wahl zu nutzen, ohne dabei auf Geschwindigkeit und Kontrolle verzichten zu müssen. Weitere Informationen finden Sie unter f5.com. Sie können @f5networks auch auf Twitter folgen oder uns auf LinkedIn und Facebook besuchen, um weitere Informationen zu F5, seinen Partnern und Technologien zu erhalten.
