Estructuración de SSL Orchestrator y el firewall de última generación de Palo Alto Networks en diferentes topologías de red
Los datos que se mueven entre clientes (computadoras, tabletas, teléfonos, etc.) y servidores están encriptados predominantemente con Secure Sockets Layer (SSL) o el más moderno y más seguro Transport Layer Security (TLS). (Como referencia, consulte el Resumen del informe de telemetría TLS 2019 de F5 Labs). El cifrado generalizado de hoy en día significa que las amenazas están ocultas e invisibles a la inspección de seguridad a menos que se descifre el tráfico.
El descifrado y cifrado de datos mediante diferentes dispositivos de seguridad, como el firewall de última generación de Palo Alto Networks (NGFW), pueden aumentar potencialmente la sobrecarga y la latencia. Además de los desafíos de visibilidad de SSL/TLS y la naturaleza fragmentada de la pila de seguridad, a las empresas les resulta difícil diseñar una estrategia de seguridad integral y duradera.
Esta arquitectura de referencia del sistema cubre las diferentes formas de estructurar F5® SSL Orchestrator® y Palo Alto Networks Next-Gen Firewall (NGFW) en las topologías de red y, al mismo tiempo, aborda los desafíos de visibilidad, privacidad y cumplimiento normativo.
F5 SSL Orchestrator se ubica entre la infraestructura de TI e Internet, creando una zona de descifrado que puede utilizar para inspección. Dentro de la zona de descifrado, los dispositivos de seguridad como Palo Alto Networks NGFW pueden acceder a los datos para detectar y mitigar amenazas ocultas como malware.
La tecnología avanzada de descifrado SSL/TLS de F5, el sólido soporte de cifrado y las arquitecturas flexibles lo ayudan a optimizar el uso de recursos, eliminar la latencia y agregar resiliencia a su infraestructura de inspección de seguridad. Dado que toda la comunicación se canaliza a través de SSL Orchestrator, también sirve como un punto de control estratégico donde se aplican políticas que abordan el riesgo operativo (rendimiento, disponibilidad y seguridad).
SSL Orchestrator proporciona descifrado de alto rendimiento tanto del tráfico SSL/TLS entrante (de usuarios de Internet a aplicações web) como saliente (de usuarios corporativos a Internet). Como se muestra en la Figura 1, el tráfico saliente se descifra y se envía a Palo Alto Networks NGFW para su inspección y detección.
Figura 1: El tráfico saliente se descifra y se envía a Cisco WSA.
Diferentes entornos requieren diferentes arquitecturas. SSL Orchestrator se ofrece en varios factores de forma y tamaños para abordar diversos requisitos arquitectónicos.
Factor de forma |
Opciones de capacidad |
Plataforma F5 SSL Orchestrator iSeries |
El hardware SSL Orchestrator iSeries de alto rendimiento está optimizado para proporcionar capacidades de descifrado de 1 GB, 5 GB, 10 GB y 20 GB y es ideal para sitios empresariales centrales y regionales. |
Edición virtual de F5® BIG-IP® |
La edición virtual de SSL Orchestrator de alto rendimiento se puede utilizar para ampliar la arquitectura de descifrado SSL para incluir sitios de oficinas más pequeños. |
Plataforma F5® VIPRION® (chasis) |
La plataforma VIPRION de alta gama ofrece rendimientos de descifrado superiores a 100 GB, lo que proporciona la capacidad de agregar y administrar un volumen cada vez mayor de tráfico de red. El diseño modular y las capacidades de agrupamiento permiten que VIPRION se escale fácilmente a medida que evolucionan las necesidades de la red. |
Una pila de seguridad típica a menudo consta de múltiples sistemas, como un NGFW, sistemas de detección o prevención de intrusiones (IDS/IPS), prevención de pérdida de datos y herramientas de análisis de malware. Todos estos sistemas requieren acceso a datos descifrados para su inspección. SSL Orchestrator se integra fácilmente con las arquitecturas de seguridad existentes y centraliza el descifrado SSL/TLS en múltiples dispositivos de inspección en la pila de seguridad. Este diseño de “descifrar una vez y dirigir a muchos dispositivos de inspección” aborda problemas de latencia, complejidad y riesgo que pueden ocurrir si cada dispositivo de seguridad realiza el descifrado. También puede crear múltiples cadenas de servicios para diferentes flujos de tráfico utilizando el motor de contexto.
Figura 2: Descifre una vez y diríjase al diseño de muchos dispositivos de inspección, utilizando encadenamiento de servicios dinámicos.
El motor de contexto de SSL Orchestrator proporciona la capacidad de dirigir el tráfico de forma inteligente en función de decisiones políticas tomadas utilizando criterios de clasificación, categoría de URL, reputación de IP e información de flujo. También puede utilizar el motor de contexto para evitar el descifrado de aplicações y sitios web como los de finanzas, servicios gubernamentales, atención médica y otros similares con fines legales o de privacidad.
Figura 3: Motor de contexto que ofrece encadenamiento de servicios y dirección de tráfico basada en políticas.
SSL Orchestrator admite una arquitectura de alta disponibilidad activa-en espera: un sistema procesa activamente el tráfico mientras el otro permanece en modo de espera hasta que sea necesario. El objetivo es reducir el tiempo de inactividad y eliminar los puntos únicos de falla. La información de configuración y conexión del usuario se sincronizan automáticamente entre los sistemas.
SSL Orchestrator se implementa en línea en modo L2 o L3 y se puede configurar como un proxy de reenvío explícito, un proxy de reenvío transparente o un proxy inverso. Cuando se integra con Palo Alto Network NGFW, SSL Orchestrator se puede conectar a través de L2 en línea, L3 en línea o modo TAP de solo recepción para dirigir el tráfico descifrado como se muestra en la Figura 4.
Figura 4: Topologías de implementación de Cisco WSA compatibles con F5 SSL Orchestrator.
La figura 5 muestra cómo SSL Orchestrator se integra en una arquitectura empresarial para centralizar el descifrado del tráfico entrante y saliente en toda la infraestructura de inspección.
Figura 5: Integración de la orquestación SSL de F5 en la arquitectura de red empresarial.
Como se muestra en la Figura 6 a continuación, SSL Orchestrator admite la agregación de enlaces mediante el protocolo de etiquetado VLAN IEEE 802.1q para proporcionar redundancia de enlaces para una mayor tolerancia a fallas.
Figura 6: agregación de enlaces para redundancia de puertos.
SSL y su sucesor TLS son cada vez más comunes para proteger las comunicaciones IP en Internet. Esto puede ser bueno o malo. Bueno, porque todas las comunicaciones están bloqueadas ante miradas indiscretas. Pero potencialmente malo, porque los atacantes pueden ocultar malware dentro del tráfico cifrado. Si el tráfico cifrado simplemente pasa, los sistemas de seguridad no pueden interceptarlo. Y eso frustra toda la estrategia de defensa en profundidad de estratificar las funciones de seguridad.
SSL Orchestrator, cuando se combina con un sistema avanzado de protección contra amenazas como Palo Alto Networks NGFW, puede resolver estos desafíos de SSL/TLS al centralizar el descifrado dentro de los límites de la empresa. Puede orquestar el tráfico descifrado a través de toda la pila de seguridad para inspeccionarlo y así identificar y bloquear exploits de día cero. Como resultado, esta solución le permite maximizar las inversiones existentes en servicios de seguridad para protección contra malware y firewalls de próxima generación.
F5 (NASDAQ: FFIV) brinda a las empresas, proveedores de servicios, gobiernos y marcas de consumo más grandes del mundo la libertad de entregar de forma segura todas las aplicaciones, en cualquier lugar y con confianza. F5 ofrece servicios de aplicação de seguridad y nube que permiten a las organizaciones adoptar la infraestructura que elijan sin sacrificar la velocidad y el control. Para obtener más información, visite f5.com. También puede seguir a @f5networks en Twitter o visitarnos en LinkedIn y Facebook para obtener más información sobre F5, sus socios y tecnologías.
