Visibilité et contrôle du trafic SSL à l'ère du HTTP/2.0
L'architecture F5 « SSL Everywhere » est centrée sur la pile SSL/TLS personnalisée qui fait partie de chaque déploiement F5 BIG-IP. Cela permet à F5 d'avoir la visibilité et le contrôle sur le trafic SSL/TLS à l'ère du HTTP/2.0.
Pourquoi la visibilité et le contrôle du trafic SSL/TLS sont-ils si importants ? Il y a seulement dix ans, SSL était réservé aux institutions financières et à certaines organisations spécifiques comme les agences du secteur public pour les pages de connexion des sites Web et des services soucieux de la sécurité. Aujourd’hui, ce protocole a été étendu à la plupart des services Web et devient rapidement le protocole de facto pour les communications. Selon une étude sectorielle réalisée par Gartner, plus de 50 % du trafic Internet mondial sera crypté d’ici la fin de l’année 2015.
TLS représente aujourd’hui un changement de paradigme dans la manière dont les entreprises abordent les réseaux informatiques, car il offre une sécurité des communications sur un serveur réseau. La connexion entre le client et le serveur est privée car la cryptographie symétrique est utilisée pour crypter les données transmises.
Visibilité et contrôle du trafic SSL/TLS en HTTP/2.0
Avec l'utilisation croissante du trafic crypté, l'approche traditionnelle consistant à dépendre des pare-feu, des systèmes de protection contre les intrusions et des systèmes de détection d'intrusion est devenue obsolète, car ces appareils seront pris au dépourvu sans connaître le flux de données qui les traverse.
La solution à ce problème est que le décryptage SSL initial ait lieu au niveau du périmètre de sécurité. Cependant, la plupart des solutions disponibles dans l’industrie travaillant au niveau du périmètre de sécurité ne sont pas conçues ou développées dans le but spécifique du « décryptage SSL ». Même si certains ont la capacité de décrypter, ils ne sont pas en mesure de le faire correctement. De nombreuses entreprises constatent également une baisse significative des performances lorsqu’elles activent le décryptage SSL. Cela a donné lieu à une quête visant à explorer « comment » ils devraient concevoir leur périmètre en intégrant une gestion optimisée du trafic SSL. De toute évidence, pour maximiser l’efficacité des dispositifs de sécurité de couche 7, le décryptage SSL doit être exécuté à proximité du périmètre de sécurité. Une fois le SSL entrant décrypté, les requêtes résultantes peuvent être analysées, modifiées et orientées.
Chiffrement SSL
Les cybercriminels attaquent souvent en utilisant SSL pour contourner les dispositifs de sécurité, sachant que ces dispositifs constituent des failles de sécurité. Les logiciels malveillants cachés dans le trafic SSL pourraient également facilement contourner les plateformes de sécurité. Gartner estime également que d’ici 2017, plus de 50 % des attaques sur le réseau des entreprises utiliseront SSL pour contourner la sécurité.
La découverte de suites de chiffrement vulnérables provoquant des attaques telles que Heartbleed, BEAST, POODLE, et d’autres encore vous impose un laps de temps réduit pour corriger les failles. Gérer des centaines ou des milliers de serveurs frontal SSL prendrait des semaines, et durant cette période, ils resteraient exposés aux attaques malveillantes.
Il s’agit alors de savoir quel trafic décrypter. Si une entreprise fournit du contenu à des utilisateurs externes, elle doit utiliser un appareil pour décharger le trafic SSL du serveur, puis insérer une protection dans le flux de trafic. Cela brisera le SSL, mais de manière intelligente - vous ne voulez pas décrypter une session bancaire mais vous le faites pour une session Facebook. La sécurité doit disposer de l’intelligence nécessaire pour comprendre où va le trafic et ensuite prendre une décision quant à savoir s’il doit être déchiffré ou laissé tel quel.
Bien que SSL permette techniquement aux utilisateurs d’obtenir une sécurité d’un point à un autre, il ne sécurise pas nécessairement l’ensemble du trafic. SSL pourrait être intercepté en cachant des logiciels malveillants dans le trafic crypté sans falsifier un certificat SSL. L’objectif principal de l’informatique est donc d’inspecter les escroqueries en temps réel et de les atténuer immédiatement.
L’architecture proxy complète de F5 permet une conversion et un décryptage transparents, tout en mettant en œuvre des connexions séparées pour les communications internes et externes. La possibilité de mettre fin aux sessions SSL permet également au service informatique d'utiliser plus facilement le cryptage pour le trafic externe et d'utiliser l'ancien HTTP si nécessaire. Toutes les connexions seront possibles et le service informatique n’aura pas besoin de casser et de remplacer toute l’infrastructure de l’application Web pour profiter des avantages de HTTP/2.0.
Maintenez les performances tout en gérant la configuration TLS
En adoptant des clés plus longues, passant de 1024 à 2048 bits, les besoins en calcul ont augmenté de quatre à huit fois par rapport à avant. Cela réduit les performances de votre infrastructure actuelle, qui doit gérer un trafic de taille comparable. Équiper votre infrastructure avec du matériel spécialisé et un accélérateur matériel vous évitera de devoir augmenter les ressources CPU sur l’ensemble de votre parc de serveurs.
Avec la norme PCI DSS 3.1 obligeant les entreprises à cesser d'utiliser SSL et TLS 1.0 d'ici le 30 juin 2016 au profit d'implémentations TLS plus récentes, les entreprises devront se conformer à ce que tous les appareils disposent d'un point de gestion SSL centralisé qui permettra de corriger les problèmes en quelques minutes dans l'ensemble de l'environnement.
Références du document :