암호화된 패킷 및 암호화된 트래픽 가시성

사용자 개인정보 보호가 화제가 되기 전에 많은 조직에서는 SSL/TLS를 진입 지점에서 종료하고 데이터 센터 내에서 모든 것이 일반 텍스트로 자유롭게 흐르도록 했습니다.

이제 GDPR과 기타 규정이 시행되고, 눈에 띄는 침해와 남용 사례로 인해 개인정보 보호가 화제에 오르면서 이는 더 이상 실행 가능한 옵션이 아닙니다. 수집하는 데이터 유형과 해당 관할권에 따라 다양한 개인정보 보호법 및 규정이 적용될 수 있습니다.

일부 보안팀은 복호화 구역(에어갭)을 설정하여 인바운드 및/또는 아웃바운드 트래픽을 복호화한 다음 보안 검사 도구의 데이지 체인을 통과시키고 다시 암호화합니다.

이 솔루션은 적어도 숨겨진 맬웨어를 발견하지만, 라우팅을 복잡하게 만들고 아키텍처를 변경하기 어렵게 만듭니다. 또한, 인라인 보안 장치에 오류가 발생하면 치명적인 정전이 발생할 수 있습니다.

가장 효과적인 선택은 오케스트레이션입니다. 인바운드 및 아웃바운드 트래픽 모두에 정책 기반 복호화 및 트래픽 조정을 적용하면 거장처럼 보안 장치 오케스트레이션을 수행할 수 있습니다. 

고성능 SSL/TLS 오케스트레이션 솔루션은 보안 스택의 보안, 효율성 및 복원력을 높이는 동시에 가시성을 개선하고 앱을 보호합니다. SSL 복호화 및 재암호화 작업은 단 하나이므로 데이지 체인 방식의 지연이 자동으로 제거됩니다.

이 프로세스는 매우 중요해서 NSA가 "전송 계층 보안 검사의 위험 관리"라는 제목의 권고안을 발표했습니다. 이 권고문에서는 위험을 최소화하기 위해 TLS 트래픽을 차단하고 검사하는 작업은 엔터프라이즈 네트워크 내에서 한 번만 수행해야 한다고 명시하고 있습니다. 또한 이 권고안에서는 중복 TLSI를 강력히 권장하지 않습니다. 중복 TLSI란 클라이언트-서버 트래픽 흐름이 하나의 포워드 프록시에 의해 복호화, 검사 및 재암호화되어 동일한 작업을 반복하기 위해 두 번째 포워드 프록시로 전달되는 것을 말합니다.