SECTION 3
La croissance du trafic SSL/TLS a obligé les organisations à trouver des solutions permettant à leur réseau et à leurs applications de répondre aux demandes accrues de cryptage généralisé.
. . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . .
NE RIEN FAIRE EST UNE RECETTE POUR LE DÉSASTRE
De nombreuses organisations ne sont pas équipées pour détecter les logiciels malveillants cachés dans le trafic chiffré à l’aide de leur pile de sécurité existante. Cependant, comme les attaquants dissimulent de plus en plus leur code malveillant dans le trafic que les dispositifs de sécurité ne peuvent pas voir, l’option de ne rien faire est une recette pour un désastre. Cela représente également un gaspillage d’argent dépensé en outils d’inspection et des efforts consacrés à leur maintenance. À première vue, il semble qu’il existe plusieurs options, mais une seule d’entre elles est véritablement efficace.
01 | Décrypter tout ?
Avant que la confidentialité des utilisateurs ne devienne un sujet populaire, de nombreuses organisations mettaient fin au protocole SSL/TLS à leur point d’entrée et laissaient tout circuler librement en clair dans leurs centres de données.
Maintenant que le RGPD et d’autres réglementations sont en vigueur et que la confidentialité fait l’actualité en raison de violations et d’abus très médiatisés, ce n’est plus une option viable. Selon les types de données que vous collectez et la juridiction correspondante, vous pouvez être soumis à diverses lois et réglementations en matière de confidentialité.
02 | Configurer une zone de décryptage
Certaines équipes de sécurité mettent en place une zone de décryptage (air gap), où elles décryptent le trafic entrant et/ou sortant avant de le faire passer par une chaîne d'outils d'inspection de sécurité, puis de le recrypter.
Cette solution permet au moins de détecter les logiciels malveillants cachés, mais elle crée une complexité de routage et rend plus difficile la modification de l’architecture. Des pannes catastrophiques peuvent également survenir en cas de défaillance des dispositifs de sécurité en ligne.
03 | Orchestration
L'orchestration est le choix le plus efficace. En appliquant le décryptage basé sur des politiques et la direction du trafic à votre trafic entrant et sortant, vous pouvez mener votre orchestration de dispositifs de sécurité comme un maestro.
Une solution d’orchestration SSL/TLS hautes performances améliore la visibilité et protège vos applications tout en augmentant la sécurité, l’efficacité et la résilience de votre pile de sécurité. Il n’y a qu’une seule opération de décryptage et de recryptage SSL, vous avez donc automatiquement supprimé la latence de l’approche en chaîne.
Ce processus est si critique que la NSA a publié un avis intitulé « Gestion des risques liés à l’inspection de sécurité de la couche transport ». L'avis indique que pour minimiser les risques, l'interruption et l'inspection du trafic TLS ne doivent être effectuées qu'une seule fois au sein du réseau de l'entreprise. L'avis déconseille également fortement le TLSI redondant, où un flux de trafic client-serveur est déchiffré, inspecté et rechiffré par un proxy de transfert, puis transmis à un deuxième proxy de transfert pour plus de la même chose.
En orchestrant votre trafic SSL/TLS, vous pouvez maximiser l'efficacité de vos solutions de sécurité tout en optimisant les performances des applications critiques.
VOIR LES MENACES CHIFFRÉES AVEC LA VISIBILITÉ SSL
Les outils d’inspection de sécurité sont de plus en plus aveugles au trafic SSL/TLS. Bien que certaines solutions de sécurité incluent des fonctionnalités de déchiffrement natives, effectuer un déchiffrement et un chiffrement à grande échelle n’est pas leur objectif principal. Sans cela, le trafic chiffré doit passer par la chaîne statique d'un processus répétitif de déchiffrement/inspection/rechiffrement sur l'ensemble de la pile de sécurité.
Ce processus consomme du temps et des ressources précieux, ajoute de la latence et perturbe l’expérience utilisateur. De plus, cela peut facilement conduire à un surnombre de souscriptions, ce qui signifie une augmentation des coûts pour des services de sécurité surdimensionnés.
F5 SSL Orchestrator, avec son architecture proxy complète et son chaînage de services dynamique, présente un véritable changement de paradigme dans la façon dont vous pouvez gérer les logiciels malveillants dans votre environnement. Protégez-vous contre les menaces cryptées grâce à la visibilité SSL.
PRÊT À ARRÊTER LES MALWARE CRYPTÉS ?
Étant donné que SSL Orchestrator fonctionne comme un proxy complet pour SSL/TLS et HTTP, il peut prendre des décisions intelligentes pour orienter le trafic entrant et sortant vers les chaînes de services au sein de la pile de sécurité, quelle que soit la complexité de vos exigences de chiffrement entrant et sortant.
Découvrez comment SSL Orchestrator offre une visibilité sur le trafic entrant des applications chiffrées, notamment sur la manière dont il enchaîne dynamiquement les services de sécurité et applique une orientation du trafic basée sur le contexte.
EN SAVOIR PLUS SUR LA PROTECTION CONTRE LES MENACES CHIFFRÉES
Logiciel malveillant crypté : La menace cachée
Dans la section 1, découvrez comment les attaquants peuvent utiliser le chiffrement pour diffuser des logiciels malveillants à l’intérieur du réseau et voler vos données.
TLS 1.3 est-il la solution ?
La section 2 explique les fonctionnalités de TLS 1.3 et examine les stratégies d’adoption du dernier protocole de cryptage.
Inspection des paquets cryptés
Dans la section 3, découvrez pourquoi la visibilité sur le trafic chiffré est essentielle pour protéger votre réseau et vos applications.
Les avantages de l'orchestration
La section 4 explore comment l’orchestration SSL/TLS peut aider à maximiser l’efficacité et le retour sur investissement de vos solutions de sécurité.
PARLEZ AVEC LES EXPERTS EN SÉCURITÉ DE F5
Vous avez une question de sécurité, un problème ou autre chose dont vous aimeriez discuter ? Nous aimerions avoir de vos nouvelles !
Nous nous assurerons de vous contacter par e-mail dans un délai d'un jour ouvrable.