暗号化されたパケットと暗号化されたトラフィックの可視性

ユーザーのプライバシーが話題になる前は、多くの組織が SSL/TLS を入力ポイントで終了し、データセンター内ではすべてがクリアテキストで自由に流れるようにしていました。

GDPR やその他の規制が施行され、プライバシー侵害や不正使用が注目を集めるようになった現在、これはもはや実行可能な選択肢ではありません。 収集するデータの種類とそれに対応する管轄区域に応じて、さまざまなプライバシー法や規制が適用される場合があります。

一部のセキュリティ チームは、復号化ゾーン (エア ギャップ) を設定し、そこで受信トラフィックや送信トラフィックを復号化してから、セキュリティ検査ツールのデイジー チェーンに渡して再度暗号化します。

このソリューションは、少なくとも隠れたマルウェアを発見しますが、ルーティングが複雑になり、アーキテクチャの変更が難しくなります。 また、インライン セキュリティ デバイスが故障すると、壊滅的な停止が発生する可能性があります。

オーケストレーションが最も効果的な選択肢です。 ポリシーベースの復号化とトラフィック ステアリングを受信トラフィックと送信トラフィックの両方に適用することで、セキュリティ デバイスのオーケストレーションをマエストロのように実行できます。 

高性能の SSL/TLS オーケストレーション ソリューションは、セキュリティ スタックのセキュリティ、効率、回復力を高めながら、可視性を向上させ、アプリを保護します。 SSL 復号化と再暗号化の操作は 1 回だけなので、デイジー チェーン アプローチの遅延は自動的に排除されます。

このプロセスは非常に重要であるため、NSA は「トランスポート層セキュリティ検査によるリスクの管理」というタイトルの勧告を公開しました。 この勧告では、リスクを最小限に抑えるために、TLS トラフィックの解読と検査は企業ネットワーク内で 1 回だけ実行する必要があると述べています。 また、このアドバイザリでは、クライアントとサーバーのトラフィック フローが 1 つのフォワード プロキシによって復号化、検査、再暗号化され、その後 2 番目のフォワード プロキシに転送されて同じ処理が繰り返される冗長 TLSI の使用も強く推奨していません。