Estruturação do SSL Orchestrator e Cisco Web Security Appliance em topologias de rede
Os dados transferidos entre clientes (computadores, tablets, telefones e assim por diante) e servidores são predominantemente criptografados com Secure Sockets Layer (SSL) ou o mais moderno e seguro Transport Layer Security (TLS). (Para referência, veja o Resumo do Relatório de Telemetria TLS de 2019 do F5 Labs). A criptografia generalizada de hoje significa que as ameaças ficam ocultas e invisíveis à inspeção de segurança, a menos que o tráfego seja descriptografado.
A descriptografia e criptografia de dados por diferentes dispositivos que executam funções de segurança, como o Cisco Web Security Appliance (WSA), aumenta potencialmente a sobrecarga e a latência. Somados aos desafios de visibilidade do SSL e à natureza fragmentada da pilha de segurança, as empresas estão achando difícil projetar uma estratégia de segurança abrangente e duradoura.
Esta arquitetura de referência do sistema abrange as diferentes maneiras de estruturar os produtos SSL Orchestrator e Cisco WSA em topologias de rede; ela aborda desafios de visibilidade, privacidade e conformidade regulatória.
O F5 SSL Orchestrator fica entre a infraestrutura de TI e a Internet, criando uma zona de descriptografia que você pode usar para inspeção. Dentro da zona de descriptografia, dispositivos de segurança como o Cisco FTD podem acessar os dados para detectar e mitigar ameaças ocultas, como malware.
A tecnologia avançada de descriptografia SSL/TLS da F5, o forte suporte de criptografia e as arquiteturas flexíveis ajudam a otimizar o uso de recursos, remover latência e adicionar resiliência à sua infraestrutura de inspeção de segurança. Como toda a comunicação é canalizada pelo SSL Orchestrator, ele também serve como um ponto estratégico de controle onde as políticas que abordam o risco operacional (desempenho, disponibilidade e segurança) são aplicadas.
O SSL Orchestrator fornece descriptografia de alto desempenho de tráfego SSL/TLS de entrada (de usuários da Internet para aplicativos da Web) e de saída (de usuários corporativos para a Internet). Conforme mostrado na Figura 1, o tráfego de saída é descriptografado e enviado ao sistema Cisco WSA para inspeção e detecção.
Figura 1: O tráfego de saída está sendo descriptografado e enviado ao Cisco WSA.
Ambientes diferentes exigem arquiteturas diferentes. O SSL Orchestrator é oferecido em vários formatos e tamanhos para atender a diversos requisitos arquitetônicos.
Fator de forma |
Opções de capacidade |
Plataforma F5 SSL Orchestrator iSeries |
O hardware SSL Orchestrator iSeries de alto desempenho é otimizado para fornecer taxas de transferência de descriptografia de 1 GB, 5 GB, 10 GB e 20 GB e é ideal para sites corporativos regionais e centrais. |
F5® BIG-IP® Edição Virtual |
A edição virtual do SSL Orchestrator de alto desempenho pode ser usada para ampliar a arquitetura de descriptografia SSL para incluir sites de escritórios menores. |
Plataforma F5® VIPRION® (chassi) |
A plataforma VIPRION de ponta oferece taxas de transferência de descriptografia maiores que 100 GB, proporcionando a capacidade de agregar e gerenciar um volume cada vez maior de tráfego de rede. O design modular e os recursos de cluster permitem que o VIPRION seja facilmente dimensionado conforme as necessidades da rede evoluem. |
Uma pilha de segurança típica geralmente consiste em vários sistemas, como um firewall de última geração (NGFW), sistemas de detecção ou prevenção de intrusão (IDS/IPS), prevenção contra perda de dados e ferramentas de análise de malware. Todos esses sistemas exigem acesso a dados descriptografados para inspeção.
O SSL Orchestrator integra-se facilmente às arquiteturas de segurança existentes e centraliza a descriptografia SSL/TLS em vários dispositivos de inspeção na pilha de segurança. Este design de “descriptografar uma vez e direcionar para muitos dispositivos de inspeção” aborda problemas de latência, complexidade e risco que podem ocorrer se cada dispositivo de segurança executar a descriptografia. Você também pode criar várias cadeias de serviços para diferentes fluxos de tráfego usando o mecanismo de contexto.
Figura 2: Decifre uma vez e direcione para muitos projetos de dispositivos de inspeção, usando encadeamento de serviço dinâmico.
O mecanismo de contexto do SSL Orchestrator fornece a capacidade de direcionar o tráfego de forma inteligente com base em decisões de política feitas usando critérios de classificação, categoria de URL, reputação de IP e informações de fluxo. Você também pode usar o mecanismo de contexto para ignorar a descriptografia para aplicativos e sites como finanças, serviços governamentais, assistência médica e outros semelhantes para fins legais ou de privacidade.
Figura 3: Mecanismo de contexto que fornece encadeamento de serviços e direcionamento de tráfego baseado em políticas.
O SSL Orchestrator oferece suporte a uma arquitetura de HA ativa-em espera: um sistema processa ativamente o tráfego enquanto o outro permanece em modo de espera até que seja necessário. O objetivo é diminuir qualquer tempo de inatividade e eliminar pontos únicos de falha. Os sistemas sincronizam automaticamente as informações de configuração e conexão do usuário.
O F5 SSL Orchestrator é implantado em linha no modo Camada 2 ou Camada 3 e pode ser configurado como um proxy de encaminhamento explícito ou proxy de encaminhamento transparente. E o Cisco WSA pode ser implantado como um proxy de encaminhamento explícito ou proxy de encaminhamento transparente dentro da cadeia de serviços do SSL Orchestrator; ele também pode ser implantado como um proxy upstream para o SSL Orchestrator em qualquer modo para receber o tráfego descriptografado para inspeção.
Figura 4: Topologias de implantação do Cisco WSA suportadas pelo F5 SSL Orchestrator.
A Figura 5 mostra como o SSL Orchestrator se integra a uma arquitetura empresarial para centralizar a descriptografia do tráfego de saída na infraestrutura de inspeção.
Figura 5: Integração de orquestração SSL F5 na arquitetura de rede corporativa.
Conforme mostrado na Figura 6 abaixo, o SSL Orchestrator oferece suporte à agregação de links usando o protocolo de marcação VLAN IEEE 802.1q para fornecer redundância de links para maior tolerância a falhas.
Figura 6: agregação de links para redundância de portas.
O SSL e seu sucessor TLS estão se tornando mais comuns para proteger comunicações IP na Internet. Isso pode ser bom ou ruim. Ótimo, porque todas as comunicações são codificadas para evitar olhares curiosos. Mas potencialmente ruim, porque os invasores podem esconder malware dentro do tráfego criptografado. Se o tráfego criptografado for simplesmente passado, os sistemas de segurança não poderão interceptá-lo. E isso anula toda a estratégia de defesa em profundidade de sobreposição de funções de segurança.
O F5 SSL Orchestrator, com um sistema avançado de proteção contra ameaças como o Cisco WSA, pode resolver esses desafios de SSL/TSL centralizando a descriptografia SSL/TLS dentro dos limites da empresa. Ele pode orquestrar o tráfego descriptografado por toda a pilha de segurança para inspeção, a fim de identificar e bloquear explorações de dia zero. Como resultado, esta solução permite maximizar os investimentos existentes em serviços de segurança para proteção contra malware e firewalls de última geração.
F5 (NASDAQ: (FFIV) dá às maiores empresas, provedores de serviços, governos e marcas de consumo do mundo a liberdade de entregar com segurança todos os aplicativos, em qualquer lugar, com confiança. A F5 fornece serviços de aplicativos de segurança e nuvem que permitem que as organizações adotem a infraestrutura que escolherem sem sacrificar a velocidade e o controle. Para mais informações, acesse f5.com. Você também pode seguir @f5networks no Twitter ou nos visitar no LinkedIn e no Facebook para obter mais informações sobre a F5, seus parceiros e tecnologias.
