SSL/TLS: Visibilidade não é suficiente, você precisa de orquestração
O lançamento da versão 4.0 do SSL Orchestrator da F5 Networks resolve um dos problemas de segurança mais complexos dos últimos cinco anos: visibilidade do tráfego criptografado do usuário. Os orçamentos de segurança investiram bilhões em controles de segurança de alto nível que são excelentes em sandboxing, inspeção profunda de pacotes e inteligência artificial, mas cegos quando se trata de criptografia . A situação é crítica, porque a porcentagem de tráfego de usuários criptografados mais que dobrou desde 2014, ultrapassando 80%, de acordo com o relatório de Telemetria TLS de 2017 do F5 Labs . Então, é claro, agora existem soluções de visibilidade SSL que fornecem serviços de descriptografia, permitindo que esses controles de segurança vejam o que estão fazendo.
Mas a visibilidade, por si só, não é suficiente. Equipes de segurança e operações de rede descobriram que configurar zonas de descriptografia não é fácil. Não é nada fácil. As equipes de segurança geralmente precisam recorrer ao encadeamento manual ou à configuração tediosa para gerenciar a descriptografia/criptografia em toda a pilha de segurança. E então eles descobrem que as exceções são abundantes. Basicamente, tem sido uma dor no pescoço *verifica notas*.
Apresentamos a versão 4.0 do SSL Orchestrator da F5, que certamente oferece visibilidade, mas se diferencia dos demais pela orquestração . A orquestração fornece direcionamento de tráfego baseado em políticas para uma cadeia de serviços com base em riscos e condições dinâmicas de rede.
Por ser um proxy completo para SSL/TLS e HTTP, o SSL Orchestrator pode tomar decisões inteligentes para direcionar o tráfego de entrada e saída para cadeias de serviços dentro da pilha de segurança. Nenhuma outra solução pode fazer isso.
A principal lição, caso você se esqueça de ler depois, é que não importa quão complicados sejam seus requisitos de criptografia de entrada e saída, o SSL Orchestrator pode trazer visibilidade de volta aos seus milhões de dólares em hardware de inspeção.
Encadeamento de serviços mais dinâmico
O F5 introduziu o conceito de encadeamento de serviços de segurança nas versões anteriores do SSL Orchestrator. Diferentes tipos de tráfego de rede devem receber diferentes tipos de inspeção, certo? Por exemplo, o tráfego de saída de estações de trabalho de administração deve receber o máximo de atenção e passar por todos os controles de segurança existentes sem criptografia. Mas as sessões de VDI dos contratantes das unidades de negócios podem pular o sandbox e o IPS ao sair.
A versão 4.0 melhora seus métodos de encadeamento de inserção de controle de segurança, balanceamento de carga e monitoramento de maneiras notáveis, como as descritas abaixo.
A visibilidade fica (mais) visual!
Se você acha que isso parece complicado ou confuso, continue conosco durante a ansiedade no meio da frase, porque o SSL Orchestrator facilita o encadeamento de serviços! Acontece que o Editor de Política Visual (VPE) do Orchestrator permite que você arraste e solte cadeias em sua arquitetura para que você possa realmente ver como a visibilidade do tráfego é habilitada.
Visibilidade: Não é mais apenas para HTTPS
Claro, a maior parte do seu tráfego é HTTPS, mas se você for uma organização maior e tiver todos os tipos de protocolos fluindo pelo seu kit, você também poderá estar lidando com FTP(S), IMAP, POP3 e ICAP. E, devido ao foco recente na criptografia oportunista , muitos aplicativos estão usando STARTTLS para esses serviços. Você provavelmente está pensando "isso é MUITO avançado para o F5 lidar". Bem, você está errado, Kenny, porque o SSL Orchestrator agora pode detectar e descriptografar corretamente criptografias oportunistas como STARTTLS em FTP, IMAP, POP3 e ICAP.
Otimizando o ICAP
A maioria dos serviços ICAP com os quais nos integramos são antivírus (AV). O AV pode adicionar latência significativa (obviamente), então o SSL Orchestrator adicionou alguns ajustes. Agora você pode criar políticas que enviam apenas determinados tipos de solicitações/respostas pelo ICAP. Um exemplo comum é escanear apenas solicitações POST e ignorar o restante das cargas úteis. Não estamos dizendo que essa é a maneira recomendada de fazer isso, mas é o que as pessoas querem, então demos a elas.
Tudo isso e um saco de batatas fritas
Se você quiser saber mais sobre as qualidades mastigáveis que estão dentro da versão 4.0 do SSL Orchestrator, aqui estão alguns pontos importantes (e links para mais informações abaixo).
O que há de novo na versão 4.0
- Utilitário de configuração atualizado com recursos de provisionamento
- Inspeção de todo o tráfego para malware e exfiltração de dados
- Modos de implantação flexíveis para integração em toda a sua infraestrutura de segurança
- Configurações e categorias de análise e registro aprimorado
- Configurações do aplicativo L7 para tráfego específico (IMAP, SMTPS, POP3, FTP, HTTP)
- Alta disponibilidade com os melhores recursos de balanceamento de carga, monitoramento de integridade e descarregamento de SSL
E por último, lembre-se disto: Você precisa escanear seu tráfego de entrada e saída em busca das ameaças de amanhã, e o SSL Orchestrator é a ferramenta que permite que seus controles de segurança mantenham o nome da sua organização fora dos jornais (figurados) e longe daquelas multas irritantes do GDPR.