暗号化された脅威を軽減し、安全な暗号化を確保する

世界中のほぼすべての組織がデジタル トランスフォーメーションへと進んでいます。 ユーザーデータ、顧客データ、患者データ、企業データなどの機密データを収集および送信する必要性によって推進される変革。 つまり、今日の私たちの生活はデータを中心に展開しています。 プライバシーとセキュリティを守ることが重要です。

applicationsはデータへのゲートウェイです。 したがって、アプリがどこに保存されているかに関係なく、アプリを保護することは、業界に関係なく、組織のセキュリティとビジネスにとって重要です。

機密データのセキュリティとプライバシーは非常に重要であるため、組織内のデータ セキュリティとプライバシーを確​​保するために、新しい政府の規則や規制が作成されています。 これらのルールは、組織または収集されたデータが管理主体の境界内にあるかどうかに関係なく適用されます。

欧州連合（EU）の一般データ保護規則（GDPR）では、EU内で事業を展開する組織に対し、個人データが個人の事前承認を得て合法的に収集され、保護されることを確認することが義務付けられています。 米国では、新しいカリフォルニア州消費者保護法 (CCPA) が GDPR の保護の多くを反映しており、消費者プライバシー保護法のモデルとして他の州で評価されています。

これらの規則と規制は、透明性を確保し、顧客が個人データとその収集後の取り扱いをより細かく制御できるように設計されています。 組織でセキュリティ侵害が発生し、機密データが紛失、盗難、悪用、または悪用された場合、侵害を受けた組織には多額の罰金が科せられる可能性があります。

機密情報を保護するためには、少なくとも暗号化がベストプラクティスであると考えられています。 実際、暗号化を使用してデータを保護しないことは過失とみなされます。  ただし、暗号化には 2 つの側面があります。

データのセキュリティとプライバシーを確保する方法はいくつかありますが、最も良い方法は暗号化です。

今日のトラフィックのほとんどは暗号化されています。 ほぼすべての Web サイトは暗号化を使用しています。 Microsoft Office 365 や Google G Suite などのオンライン生産性向上アプリ、クラウドベースのapplications、SaaS (Software-as-a-Service) アプリ、ソーシャル ネットワークの急速な成長と継続的な採用により、暗号化トラフィックの継続的な増加が促進されています。

データを暗号化することは、データのプライバシーと整合性を確保し、維持するのに最適です。

しかし、暗号化には危険な欠点があります。暗号化されたトラフィックは、疑いを持たないユーザーやその組織にマルウェアやその他の悪意のあるペイロードを配信する優れた方法であると同時に、ユーザーや組織から盗まれたデータを抽出する優れた方法でもあることに、攻撃者は気付いています。

少なくとも、暗号化されたトラフィックに隠れた脅威を防ぐには、組織が受信側と送信側の暗号化されたトラフィックの両方を可視化する必要があります。 暗号化された受信トラフィックの可視性と検査により、セキュリティの盲点が減少します。 また、暗号化されたトラフィック内に隠されたマルウェアのリスクや、機密データの漏洩につながる脆弱性も軽減します。

暗号化された送信トラフィックの可視性も重要です。そのトラフィックは盗まれたデータの流出を隠すことができるからです。 また、ネットワークまたはクラウド環境内にすでに定着しているマルウェアがコマンド アンド コントロール (CnC) サーバーに対して開始した通信をマスクして、攻撃をトリガーしたり、既存の悪意のあるソフトウェアをダウンロードして拡張して多層、マルチスレッド攻撃を試みたりすることもできます。

攻撃者は追加のマルウェアをダウンロードして組織内を横方向に移動したり、元の組織を超えて顧客やサプライ チェーンを攻撃したりして、より多くのデバイスやサーバーを感染させ、より多くの情報やデータを盗むこともできます。

ただし、SSL の可視性は始まりに過ぎません。 組織は、暗号化されたトラフィックと復号化されたトラフィックの両方をより適切に制御する必要がありますが、セキュリティ ソリューションの機能を犠牲にしてまで制御する必要はありません。

多くの組織は、セキュリティ ソリューションに多額の投資を行っており、マルウェアの駆除、サンドボックス化、applicationsや Web プロパティのブラックリスト化など、特定の機能を実行するために価値の高い機能を選択しています。  セキュリティ ソリューションにはネイティブの復号化機能が含まれる場合がありますが、復号化と暗号化はそれらの主な目的や焦点ではありません。

大規模な復号化を実行するように設計された専用ソリューションがない場合、SSL の可視性を実現するには、ほとんどの企業で暗号化されたトラフィックをエンドツーエンドのセキュリティ サービスのチェーンにルーティングする必要があります。 本質的には、セキュリティ スタック全体にわたって、復号化/検査/再暗号化という反復的で冗長なプロセスの静的デイジー チェーンを実行する必要があります。

このプロセスは非効率的であるだけでなく、貴重な時間とリソースを消費します。 また、遅延が発生し、ユーザー エクスペリエンスに影響を与える可能性もあります。 さらに、デイジーチェーン接続された各セキュリティ デバイスは、暗号化されたトラフィックの合計容量を満たすために均一に拡張する必要があり、簡単にオーバーサブスクリプションが発生する可能性があります。 そしてそれは、セキュリティ サービスのコストが増加することを意味します。

F5 SSL Orchestrator は、暗号化されたトラフィックが確実に復号化され、適切なセキュリティ制御によって検査され、その後再暗号化されるため、暗号化されたトラフィックの可視性が提供され、隠れた脅威のリスクが軽減されます。

SSL/TLS インフラストラクチャの強化に特化した SSL Orchestrator は、既存のセキュリティ投資の有効性も最大化します。 セキュリティ サービスを動的に連鎖し、ポリシーを介して復号化されたトラフィックを制御し、コンテキスト ベースのインテリジェンスを暗号化されたトラフィックに適用します。

SSL Orchestrator は、セキュリティ インフラストラクチャ全体にわたって最新の暗号化テクノロジを集中的に管理および配布します。 強力な暗号管理と制御を提供しながら、証明書とキー管理を一元化します。

また、次世代の暗号化プロトコルの統合検査のための単一のプラットフォームも提供します。 SSL Orchestrator は、セキュリティ ソリューションが最高の効率で動作し、F5 の負荷分散およびスケーリング機能によって高可用性で拡張できることを保証します。 また、各セキュリティ サービスの健全性を個別に監視します。

SSL Orchestrator は、あらゆる暗号化の中心点として、物理環境か仮想環境かを問わず、セキュリティとプライバシーに関する最も厳格で堅牢な政府および業界の標準をサポートすることを保証する必要があります。

SSL 可視性を提供するための重要な部分には、堅牢なキー管理 (PKI) インフラストラクチャが必要です。  キーの管理と保護、およびそれらの適切な使用は、多くの場合、規制上の義務 (連邦情報処理標準 140.2 (FIPS 140-2)、Common Criteria、国際標準化機構 (ISO) の標準、およびその他の地域または業界固有の認定など) に関連付けられています。

米国であるにもかかわらず、FIPS 140-2 に準拠しています。 米国国立標準技術研究所 (NIST) 標準は、世界中の多くの規制の厳しい市場で使用されており、暗号の使用と実装の検証に関するガイダンスを提供します。

FIPS 140-2 には、規制、リスク、データの機密性に対応するさまざまなレベルがいくつかあります。 SSL 可視性の導入では、ハードウェア セキュリティ モジュール (HSM) と呼ばれる、改ざん防止機能を備えたハードウェアの物理エンクロージャ内の署名キーを保護するために、FIPS 140-2 レベル 3 が必要になることがよくあります。 HSM には、キーのゼロ化、起動時の整合性チェック、および不正なキーの抽出を防止するための制御が含まれます。 HSM は、キーのセキュリティを強化するだけでなく、証明書の管理を簡素化し、コンプライアンス コストを削減するのにも役立ちます。

F5 は、オンボックスおよびネットワーク HSM への公開鍵暗号化標準 #11 (PKCS #11) 経由の両方で、複数の HSM オプションを含む、最も幅広い FIPS 準拠プラットフォームを提供しています。選択した SSL Orchestrator ライセンスとモデルに応じて、さまざまな価格オプションを含む、さまざまな FIPS 140-2 レベルが用意されており、規模に関係なくあらゆる組織でポリシー遵守が可能になります。

F5 SSL Orchestrator は、暗号化されたトラフィックに対する比類のない総合的な可視性を提供し、受信暗号化トラフィックによって隠蔽されるマルウェアやその他の悪意のある脅威に関連するリスクを軽減します。 SSL Orchestrator は、盗まれたデータ流出、CnC 通信、送信暗号化トラフィックにおける追加のマルウェアや悪意のあるペイロードのダウンロードも阻止します。

また、SSL Orchestrator は、集中型の復号化および再暗号化機能、動的なサービス チェーン、インテリジェントなトラフィック ステアリングを通じて、CPU を集中的に使用する復号化/暗号化を安全にオフロードし、価値の高いセキュリティ機能を大規模に実行できるようにします。 これにより、セキュリティ投資を最大限に活用しやすくなります。

これらのアクションにより、セキュリティの盲点や隠れた脅威が阻止されるだけでなく、既存のセキュリティ ソリューションが解放され、脅威からの保護、データ漏洩の防止、サンドボックス化、その他の関連するセキュリティ サービスなど、主要な機能が最適に実行されます。

SSL Orchestrator には、中小企業 (SMB)、現代の企業、クラウド向けに設計された複数のライセンス オプションがあります。  F5 は、仮想エディション (VE) や中級からハイエンドのアプライアンスなど、複数のプラットフォーム オプションを備え、暗号化トラフィックの変化や、TLS 1.3、将来の IoT デバイス、最終的には量子暗号方式などの暗号とプロトコルの変化に対応するソリューションを提供します。