Structure de SSL Orchestrator et du pare-feu nouvelle génération de Palo Alto Networks sur les topologies de réseau
Les données circulant entre les clients (ordinateurs, tablettes, téléphones, etc.) et les serveurs sont principalement cryptées avec Secure Sockets Layer (SSL) ou avec le protocole TLS (Transport Layer Security), plus moderne et plus sécurisé. (Pour référence, voir le résumé du rapport de télémétrie TLS 2019 de F5 Labs). Le cryptage omniprésent d’aujourd’hui signifie que les menaces sont cachées et invisibles à l’inspection de sécurité à moins que le trafic ne soit décrypté.
Le décryptage et le cryptage des données par différents dispositifs de sécurité, comme Palo Alto Networks Next-Gen Firewall (NGFW), peuvent potentiellement augmenter la surcharge et la latence. Outre les défis liés à la visibilité SSL/TLS et à la nature fragmentée de la pile de sécurité, les entreprises ont du mal à concevoir une stratégie de sécurité complète et pérenne.
Cette architecture de référence système couvre les différentes manières de structurer F5® SSL Orchestrator® et Palo Alto Networks Next-Gen Firewall (NGFW) sur les topologies de réseau tout en répondant aux défis de visibilité, de confidentialité et de conformité réglementaire.
F5 SSL Orchestrator se situe entre l'infrastructure informatique et Internet, créant une zone de décryptage que vous pouvez utiliser pour l'inspection. Dans la zone de décryptage, les dispositifs de sécurité comme Palo Alto Networks NGFW peuvent accéder aux données pour détecter et atténuer les menaces cachées comme les logiciels malveillants.
La technologie avancée de décryptage SSL/TLS de F5, sa prise en charge puissante du chiffrement et ses architectures flexibles vous aident à optimiser l’utilisation des ressources, à supprimer la latence et à ajouter de la résilience à votre infrastructure d’inspection de sécurité. Étant donné que toutes les communications sont acheminées via SSL Orchestrator, celui-ci sert également de point de contrôle stratégique où les politiques traitant des risques opérationnels (performances, disponibilité et sécurité) sont appliquées.
SSL Orchestrator fournit un décryptage hautes performances du trafic SSL/TLS entrant (des utilisateurs Internet vers les applications Web) et sortant (des utilisateurs d'entreprise vers Internet). Comme le montre la figure 1, le trafic sortant est décrypté et envoyé au NGFW de Palo Alto Networks pour inspection et détection.
Figure 1 : Le trafic sortant est déchiffré et envoyé à Cisco WSA.
Des environnements différents nécessitent des architectures différentes. SSL Orchestrator est proposé dans différents formats et tailles pour répondre à diverses exigences architecturales.
Facteur de forme |
Options de capacité |
Orchestrateur SSL F5 pour la plate-forme iSeries |
Le matériel iSeries SSL Orchestrator hautes performances est optimisé pour fournir des débits de décryptage de 1 Go, 5 Go, 10 Go et 20 Go et est idéal pour les sites d'entreprise régionaux et centraux. |
Édition virtuelle F5® BIG-IP® |
L'édition virtuelle SSL Orchestrator hautes performances peut être utilisée pour augmenter l'architecture de décryptage SSL afin d'inclure des sites de bureau plus petits. |
Plateforme F5® VIPRION® (châssis) |
La plate-forme VIPRION haut de gamme offre des débits de décryptage supérieurs à 100 Go, offrant la possibilité d'agréger et de gérer un volume de trafic réseau toujours croissant. La conception modulaire et les capacités de clustering permettent au VIPRION d'évoluer facilement à mesure que les besoins du réseau évoluent. |
Une pile de sécurité typique se compose souvent de plusieurs systèmes tels qu'un NGFW, des systèmes de détection ou de prévention d'intrusion (IDS/IPS), des outils de prévention de la perte de données et d'analyse des logiciels malveillants. Tous ces systèmes nécessitent l’accès à des données décryptées pour inspection. SSL Orchestrator s'intègre facilement aux architectures de sécurité existantes et centralise le décryptage SSL/TLS sur plusieurs périphériques d'inspection de la pile de sécurité. Cette conception « décrypter une fois et diriger vers de nombreux appareils d'inspection » résout les problèmes de latence, de complexité et de risque qui peuvent survenir si chaque appareil de sécurité effectue le décryptage. Vous pouvez également créer plusieurs chaînes de services pour différents flux de trafic à l'aide du moteur de contexte.
Figure 2 : Décryptez une fois et dirigez-vous vers de nombreux appareils d'inspection, en utilisant le chaînage de services dynamique.
Le moteur de contexte de SSL Orchestrator offre la possibilité de diriger intelligemment le trafic en fonction des décisions stratégiques prises à l’aide de critères de classification, de catégorie d’URL, de réputation IP et d’informations de flux. Vous pouvez également utiliser le moteur de contexte pour contourner le décryptage des applications et des sites Web tels que les services financiers, les services gouvernementaux, les soins de santé et d'autres services similaires à des fins juridiques ou de confidentialité.
Figure 3 : Moteur de contexte offrant un chaînage de services et une direction du trafic basée sur des politiques.
SSL Orchestrator prend en charge une architecture HA active-veille : un système traite activement le trafic tandis que l'autre reste en mode veille jusqu'à ce qu'il soit nécessaire. L’objectif est de réduire les temps d’arrêt et d’éliminer les points de défaillance uniques. Les informations de configuration et de connexion utilisateur sont synchronisées automatiquement entre les systèmes.
SSL Orchestrator est déployé en ligne en mode L2 ou L3 et peut être configuré comme un proxy de transfert explicite, un proxy de transfert transparent ou un proxy inverse. Lorsqu'il est intégré à Palo Alto Network NGFW, SSL Orchestrator peut être connecté via le mode L2 en ligne, L3 en ligne ou TAP en réception uniquement pour diriger le trafic déchiffré comme illustré dans la figure 4.
Figure 4 : Topologies de déploiement Cisco WSA prises en charge par F5 SSL Orchestrator.
La figure 5 montre comment SSL Orchestrator s'intègre dans une architecture d'entreprise pour centraliser le décryptage du trafic entrant et sortant sur l'infrastructure d'inspection.
Figure 5 : Intégration de l'orchestration SSL F5 dans l'architecture du réseau d'entreprise.
Comme le montre la figure 6 ci-dessous, SSL Orchestrator prend en charge l'agrégation de liens à l'aide du protocole de balisage VLAN IEEE 802.1q pour fournir une redondance de liens pour une tolérance aux pannes accrue.
Figure 6 : agrégation de liens pour la redondance des ports.
SSL et son successeur TLS deviennent de plus en plus répandus pour sécuriser les communications IP sur Internet. Cela peut être bon ou mauvais. Tant mieux, car toutes les communications sont brouillées pour les regards indiscrets. Mais potentiellement mauvais, car les attaquants peuvent cacher des logiciels malveillants dans le trafic crypté. Si le trafic crypté est simplement transmis, les systèmes de sécurité ne peuvent pas l’intercepter. Et cela va à l’encontre de toute la stratégie de défense en profondeur consistant à superposer les fonctions de sécurité.
SSL Orchestrator, associé à un système de protection contre les menaces avancées comme Palo Alto Networks NGFW, peut résoudre ces défis SSL/TLS en centralisant le décryptage dans les limites de l'entreprise. Il peut orchestrer le trafic décrypté à travers l'ensemble de la pile de sécurité pour inspection afin d'identifier et de bloquer les exploits zero-day. Par conséquent, cette solution vous permet de maximiser les investissements dans les services de sécurité existants pour la protection contre les logiciels malveillants et les pare-feu de nouvelle génération.
F5 (NASDAQ: FFIV) offre aux plus grandes entreprises, fournisseurs de services, gouvernements et marques grand public du monde la liberté de fournir en toute sécurité chaque application, n'importe où, en toute confiance. F5 fournit des services d'application cloud et de sécurité qui permettent aux organisations d'adopter l'infrastructure de leur choix sans sacrifier la vitesse et le contrôle. Pour plus d'informations, rendez-vous sur f5.com. Vous pouvez également suivre @f5networks sur Twitter ou nous rendre visite sur LinkedIn et Facebook pour plus d'informations sur F5, ses partenaires et ses technologies.
