Cisco FTD y F5 SSL Orchestrator: Estructuración entre topologías de red
Los datos que se mueven entre clientes (computadoras, tabletas, teléfonos, etc.) y servidores están encriptados predominantemente con Secure Sockets Layer (SSL) o el más moderno y más seguro Transport Layer Security (TLS). (Como referencia, consulte el Resumen del informe de telemetría TLS 2019 de F5 Labs). El cifrado generalizado de hoy en día significa que las amenazas están ocultas e invisibles a la inspección de seguridad a menos que se descifre el tráfico.
El descifrado y cifrado de datos por parte de diferentes dispositivos que realizan funciones de seguridad, como Cisco Firepower Threat Defense (FTD), aumenta potencialmente la sobrecarga y la latencia. Además de los desafíos de visibilidad de SSL y la naturaleza fragmentada de la pila de seguridad, las empresas encuentran difícil diseñar una estrategia de seguridad integral con cierta durabilidad.
Esta arquitectura de referencia del sistema cubre las diferentes formas de estructurar los productos SSL Orchestrator y Cisco FTD en diferentes topologías de red; aborda los desafíos de visibilidad, privacidad y cumplimiento normativo.
F5 SSL Orchestrator se ubica entre la infraestructura de TI e Internet, creando una zona de descifrado que puede utilizar para inspección. Dentro de la zona de descifrado, los dispositivos de seguridad como Cisco FTD pueden acceder a los datos para detectar y mitigar amenazas ocultas como malware.
La tecnología avanzada de descifrado SSL/TLS de F5, el sólido soporte de cifrado y las arquitecturas flexibles lo ayudan a optimizar el uso de recursos, eliminar la latencia y agregar resiliencia a su infraestructura de inspección de seguridad. Dado que toda la comunicación se canaliza a través de SSL Orchestrator, también sirve como un punto de control estratégico donde se aplican políticas que abordan el riesgo operativo (rendimiento, disponibilidad y seguridad).
SSL Orchestrator proporciona descifrado de alto rendimiento tanto del tráfico SSL/TLS entrante (de usuarios de Internet a aplicações web) como saliente (de usuarios corporativos a Internet). Como se muestra en la Figura 1, el tráfico saliente se descifra y se envía al sistema Cisco FTD para su inspección y detección.
Figura 1: El tráfico saliente se descifra y se envía a Cisco FTD.
Diferentes entornos requieren diferentes arquitecturas. SSL Orchestrator se ofrece en varios factores de forma y tamaños para abordar diversos requisitos arquitectónicos.
Factor de forma |
Opciones de capacidad |
Plataforma SSL Orchestrator iSeries |
El hardware SSL Orchestrator iSeries de alto rendimiento está optimizado para proporcionar capacidades de descifrado de 1 GB, 5 GB, 10 GB y 20 GB y es ideal para sitios empresariales centrales y regionales. |
Edición virtual de F5® BIG-IP® |
La edición virtual de SSL Orchestrator de alto rendimiento se puede utilizar para ampliar la arquitectura de descifrado SSL para incluir sitios de oficinas más pequeños. |
Plataforma F5® VIPRION® (chasis) |
La plataforma VIPRION de alta gama ofrece rendimientos de descifrado superiores a 100 GB, lo que proporciona la capacidad de agregar y administrar un volumen cada vez mayor de tráfico de red. El diseño modular y las capacidades de agrupamiento permiten que VIPRION se escale fácilmente a medida que evolucionan las necesidades de la red. |
Una pila de seguridad típica a menudo consta de múltiples sistemas, como un firewall de próxima generación (NGFW), sistemas de detección o prevención de intrusiones (IDS/IPS), prevención de pérdida de datos y herramientas de análisis de malware. Todos estos sistemas requieren acceso a datos descifrados para su inspección.
SSL Orchestrator se integra fácilmente con las arquitecturas de seguridad existentes y centraliza el descifrado SSL/TLS en múltiples dispositivos de inspección en la pila de seguridad. Este diseño de “descifrar una vez y dirigir a muchos dispositivos de inspección” aborda problemas de latencia, complejidad y riesgo que pueden ocurrir si cada dispositivo de seguridad realiza el descifrado. También puede crear múltiples cadenas de servicios para diferentes flujos de tráfico utilizando el motor de contexto.
Figura 2: Descifre una vez y dirija a muchos dispositivos de inspección con encadenamiento de servicios dinámicos.
El motor de contexto de SSL Orchestrator proporciona la capacidad de dirigir el tráfico de forma inteligente en función de decisiones políticas tomadas utilizando criterios de clasificación, categoría de URL, reputación de IP e información de flujo. También puede utilizar el motor de contexto para evitar el descifrado de aplicações y sitios web como los de finanzas, servicios gubernamentales, atención médica y otros similares con fines legales o de privacidad.
Figura 3: Motor de contexto que ofrece encadenamiento de servicios y dirección de tráfico basada en políticas.
SSL Orchestrator admite una arquitectura de alta disponibilidad activa-en espera: un sistema procesa activamente el tráfico mientras el otro permanece en modo de espera hasta que sea necesario. El objetivo es reducir el tiempo de inactividad y eliminar los puntos únicos de falla. Los sistemas sincronizan automáticamente la configuración y la información de conexión del usuario.
El F5 SSL Orchestrator se implementa en línea en modo de capa 2 o capa 3 y se puede configurar como un proxy de reenvío explícito, un proxy de reenvío transparente o como un proxy inverso. Cuando se trata de integrarse con Cisco FTD, SSL Orchestrator se puede conectar a través de L3 en línea, L2 en línea o modo TAP de solo recepción para dirigir el tráfico descifrado como se muestra en la Figura 4.
Figura 4: Topologías de implementación de Cisco FTD compatibles con F5 SSL Orchestrator.
La figura 5 muestra cómo SSL Orchestrator se integra en la arquitectura empresarial para centralizar el descifrado del tráfico entrante y saliente en toda la infraestructura de inspección.
Figura 5: Integración de orquestación SSL en la arquitectura de red empresarial.
SSL y su sucesor TLS son cada vez más comunes para proteger las comunicaciones IP en Internet. Esto puede ser bueno o malo. Bueno, porque todas las comunicaciones están bloqueadas ante miradas indiscretas. Pero potencialmente malo, porque los atacantes pueden ocultar malware dentro del tráfico cifrado. Si el tráfico cifrado simplemente pasa, los sistemas de seguridad no pueden interceptarlo. Y eso frustra toda la estrategia de defensa en profundidad de estratificar las funciones de seguridad.
F5 SSL Orchestrator, con un sistema avanzado de protección contra amenazas como Cisco FTD, puede resolver estos desafíos de SSL/TLS al centralizar el descifrado de SSL/TLS dentro de los límites de la empresa. Puede orquestar el tráfico descifrado a través de toda la pila de seguridad para inspeccionarlo y así identificar y bloquear exploits de día cero. Como resultado, esta solución le permite maximizar las inversiones existentes en servicios de seguridad para protección contra malware y firewalls de próxima generación.
F5 (NASDAQ: FFIV) brinda a las empresas, proveedores de servicios, gobiernos y marcas de consumo más grandes del mundo la libertad de entregar de forma segura todas las aplicaciones, en cualquier lugar y con confianza. F5 ofrece servicios de aplicação de seguridad y nube que permiten a las organizaciones adoptar la infraestructura que elijan sin sacrificar la velocidad y el control. Para obtener más información, visite f5.com. También puede seguir a @f5networks en Twitter o visitarnos en LinkedIn y Facebook para obtener más información sobre F5, sus socios y tecnologías.
