SSL/TLS: 可視性だけでは不十分、オーケストレーションが必要
F5 Networks の SSL Orchestrator バージョン 4.0 のリリースにより、過去 5 年間で最も厄介なセキュリティ問題の 1 つである、暗号化されたユーザー トラフィックの可視性が解決されます。 セキュリティ予算は、サンドボックス、ディープパケットインスペクション、人工知能には優れているものの、暗号化に関しては無知な、高度なセキュリティ制御に数十億ドルを投資してきました。 F5 Labs の 2017 TLS テレメトリ レポートによると、暗号化されたユーザー トラフィックの割合は 2014 年以降 2 倍以上に増加し、80% を超えているため、状況は深刻です。 そのため、もちろん、今では、セキュリティ制御が何を実行しているかを確認できる復号化サービスを提供する SSL 可視性ソリューションが存在します。
しかし、可視性だけでは十分ではありません。 セキュリティ チームとネットワーク運用担当者は、復号化ゾーンの設定が容易ではないことに気づきました。 全然簡単じゃない。 セキュリティ チームは、セキュリティ スタック全体の復号化/暗号化を管理するために、手動のデイジー チェーンや面倒な構成に頼らざるを得ないことがよくあります。 そして、例外がたくさんあることに気づきます。 基本的に、*メモを確認* 首が痛くなるほどでした。
F5 の SSL Orchestrator バージョン 4.0 では、確かに可視性を提供しますが、オーケストレーションによって他社製品との差別化を図っています。 オーケストレーションは、リスクと動的なネットワーク状態に基づいて、サービス チェーンにポリシー ベースのトラフィック ステアリングを提供します。
SSL/TLSとHTTP の両方の完全なプロキシであるという利点により、SSL Orchestrator は、セキュリティ スタック内のサービス チェーンへの受信トラフィックと送信トラフィックを誘導するためのインテリジェントな決定を下すことができます。 他の解決策ではそれができません。
重要なポイントは、このあとの読み飛ばしに関わらず、受信および送信の暗号化要件がいかに複雑であっても、SSL Orchestrator を使用すると、数百万ドルの検査ハードウェアの可視性を回復できるということです。
より動的なサービスチェーニング
F5 は、SSL Orchestrator の以前のバージョンでセキュリティ サービス チェーンの概念を導入しました。 ネットワーク トラフィックの種類によって、検査の種類も異なるはずですよね? たとえば、管理ワークステーションからの送信トラフィックは最も厳しく監視され、暗号化されずに既存のすべてのセキュリティ制御を通過する必要があります。 しかし、ビジネス ユニットの請負業者からの VDI セッションは、送信時にサンドボックスと IPS をスキップできます。
バージョン 4.0 では、セキュリティ管理挿入チェーン、負荷分散、および監視方法が、以下に説明するように大幅に改善されています。
可視性が(さらに)視覚的に向上します。
複雑でわかりにくいと思われる場合は、文の途中で不安を感じてもそのままお付き合いください。SSL Orchestrator を使用すると、サービス チェーンが簡単になります。 実際のところ、Orchestrator のビジュアル ポリシー エディター (VPE) を使用すると、チェーンをアーキテクチャにドラッグ アンド ドロップして、トラフィックの可視性がどのように有効になっているかを実際に確認できます。
可視性: もうHTTPSだけではない
確かに、トラフィックの大部分は HTTPS ですが、大規模な組織で、キットを通じてあらゆる種類のプロトコルが流れている場合は、FTP(S)、IMAP、POP3、ICAP も処理している可能性があります。 また、最近では日和見暗号化に重点が置かれているため、多くのapplicationsがそれらのサービスに STARTTLS を使用しています。 おそらく、「F5 で処理するには高度すぎる」と思われるでしょう。 まあ、それは間違いです、Kenny。SSL Orchestrator は、FTP、IMAP、POP3、ICAP 内の STARTTLS などの日和見暗号化を検出し、正しく復号化できるようになりました。
ICAPの最適化
当社が統合する ICAP サービスの大部分はウイルス対策 (AV) です。 AV は (当然ですが) 大幅な遅延を引き起こす可能性があるため、SSL Orchestrator ではいくつかの調整を加えています。 特定の種類のリクエスト/応答のみを ICAP 経由で送信するポリシーを作成できるようになりました。 一般的な例の 1 つは、POST リクエストのみをスキャンし、残りのペイロードをバイパスすることです。 それが推奨される方法だと言っているのではありませんが、人々がそれを望んでいるので、私たちはそれを提供したのです。
これらすべてとチップスの袋
SSL Orchestrator バージョン 4.0 の優れた機能についてさらに詳しく知りたい場合は、ここに箇条書きをいくつか示します (詳細情報へのリンクも下に記載されています)。
バージョン4.0の新機能
- リソースプロビジョニング機能を備えたセットアップユーティリティの更新
- すべてのトラフィックをマルウェアやデータ流出について検査する
- セキュリティインフラストラクチャ全体を統合する柔軟な導入モード
- 分析と強化されたログ設定とカテゴリ
- 特定のトラフィックの L7application設定 (IMAP、SMTPS、POP3、FTP、HTTP)
- クラス最高の負荷分散、ヘルスモニタリング、SSLオフロード機能による高可用性
最後に、次の点を覚えておいてください。 将来の脅威に備えて、受信トラフィックと送信トラフィックをスキャンする必要があります。SSL Orchestrator は、セキュリティ制御によって組織の名前が(比喩的に)新聞に掲載されることを防ぎ、厄介な GDPR 罰金を回避できるツールです。