SSL/TLS: la visibilidad no es suficiente, necesita orquestación
El lanzamiento de la versión 4.0 de SSL Orchestrator de F5 Networks resuelve uno de los problemas de seguridad más molestos de los últimos cinco años: la visibilidad del tráfico de usuarios cifrados. Los presupuestos de seguridad han invertido miles de millones de dólares en controles de seguridad de alto nivel que son sorprendentes en entornos sandbox, inspección profunda de paquetes e inteligencia artificial, pero ciegos cuando se trata de cifrado . La situación es crítica, porque el porcentaje de tráfico de usuarios cifrado se ha más que duplicado desde 2014, superando el 80 por ciento, según el informe TLS Telemetry 2017 de F5 Labs . Por supuesto, ahora existen soluciones de visibilidad SSL que brindan servicios de descifrado que permiten que esos controles de seguridad vean lo que están haciendo.
Pero la visibilidad, por sí sola, no es suficiente. Los equipos de seguridad y operaciones de red han descubierto que configurar zonas de descifrado no es fácil. No es nada fácil. Los equipos de seguridad a menudo tienen que recurrir a la conexión en cadena manual o a una configuración tediosa para gestionar el cifrado o descifrado en toda la pila de seguridad. Y luego descubren que abundan las excepciones. Básicamente, ha sido un dolor de cabeza *revisa notas*.
Ingresa la versión 4.0 de SSL Orchestrator de F5, que sin duda ofrece visibilidad pero se diferencia del resto por su orquestación . La orquestación proporciona una dirección de tráfico basada en políticas a una cadena de servicios en función del riesgo y las condiciones dinámicas de la red.
Gracias a su virtud de ser un proxy completo tanto para SSL/TLS como para HTTP, SSL Orchestrator puede tomar decisiones inteligentes para dirigir el tráfico entrante y saliente a las cadenas de servicio dentro de la pila de seguridad. Ninguna otra solución puede hacer eso.
La conclusión clave, en caso de que no lea más a continuación, es que, sin importar cuán complicados sean sus requisitos de cifrado entrante y saliente, SSL Orchestrator puede devolverle visibilidad a sus millones de dólares en hardware de inspección.
Encadenamiento de servicios más dinámico
F5 introdujo el concepto de encadenamiento de servicios de seguridad en las versiones anteriores de SSL Orchestrator. Los diferentes tipos de tráfico de red deberían recibir diferentes tipos de inspección, ¿verdad? Por ejemplo, el tráfico saliente de las estaciones de trabajo de administración debería recibir el máximo escrutinio y pasar por todos los controles de seguridad existentes sin cifrar. Pero las sesiones VDI de los contratistas de las unidades de negocio pueden saltear el sandbox y el IPS al salir.
La versión 4.0 mejora su control de seguridad, inserción, equilibrio de carga y métodos de monitoreo de maneras notables, como las que se describen a continuación.
¡La visibilidad se vuelve (más) visual!
Si piensa que esto suena complicado o confuso, quédese con nosotros y supere la ansiedad a mitad de la oración, porque el Orquestador SSL hace que el encadenamiento de servicios sea fácil. De hecho, el Editor de políticas visuales (VPE) del Orchestrator le permite arrastrar y soltar cadenas en su arquitectura para que pueda ver realmente la forma en que se habilita la visibilidad del tráfico.
Visibilidad: Ya no es solo para HTTPS
Claro, la mayoría de su tráfico es HTTPS, pero si es una organización grande y tiene todo tipo de protocolos fluyendo a través de su equipo, es posible que también esté manejando algunos FTP(S), IMAP, POP3 e ICAP. Y, debido al enfoque reciente en el cifrado oportunista , muchas aplicações están utilizando STARTTLS para esos servicios. Probablemente estés pensando "Eso es demasiado avanzado para que F5 lo maneje". Bueno, estás equivocado, Kenny, porque SSL Orchestrator ahora puede detectar y descifrar correctamente el cifrado oportunista como STARTTLS en FTP, IMAP, POP3 e ICAP.
Optimización de ICAP
La mayoría de los servicios ICAP con los que nos integramos son antivirus (AV). El AV puede agregar latencia significativa (obviamente), por lo que SSL Orchestrator ha agregado algunos ajustes. Ahora puede crear políticas que solo envíen ciertos tipos de solicitudes/respuestas a través de ICAP. Un ejemplo común es escanear solo las solicitudes POST y omitir el resto de cargas útiles. No estamos diciendo que esa sea la forma recomendada de hacerlo, pero eso es lo que la gente quiere y por eso se lo dimos.
Todo eso y una bolsa de patatas fritas
Si desea obtener más información sobre las bondades masticables que se encuentran dentro de la versión 4.0 de SSL Orchestrator, aquí tiene una serie de viñetas (y enlaces a más información más abajo).
Novedades de la versión 4.0
- Utilidad de configuración actualizada con capacidades de aprovisionamiento de recursos
- Inspección de todo el tráfico en busca de malware y exfiltración de datos
- Modos de implementación flexibles para integrarse en toda su infraestructura de seguridad
- Análisis y configuraciones y categorías de registro mejoradas
- Configuración de la aplicação L7 para tráfico específico (IMAP, SMTPS, POP3, FTP, HTTP)
- Alta disponibilidad con equilibrio de carga de primera clase, monitoreo de estado y capacidades de descarga SSL
Y por último, recuerda esto: Debe escanear su tráfico entrante y saliente para detectar las amenazas del futuro, y SSL Orchestrator es la herramienta que permite que sus controles de seguridad mantengan el nombre de su organización fuera de los papeles (figurativos) y lejos de esas molestas multas del GDPR.