Estruturação do SSL Orchestrator e do Palo Alto Networks Next-Gen Firewall em topologias de rede
Os dados transferidos entre clientes (computadores, tablets, telefones e assim por diante) e servidores são predominantemente criptografados com Secure Sockets Layer (SSL) ou o mais moderno e seguro Transport Layer Security (TLS). (Para referência, veja o Resumo do Relatório de Telemetria TLS de 2019 do F5 Labs). A criptografia generalizada de hoje significa que as ameaças ficam ocultas e invisíveis à inspeção de segurança, a menos que o tráfego seja descriptografado.
A descriptografia e criptografia de dados por diferentes dispositivos de segurança, como o Palo Alto Networks Next-Gen Firewall (NGFW), pode potencialmente aumentar a sobrecarga e a latência. Além dos desafios de visibilidade do SSL/TLS e da natureza fragmentada da pilha de segurança, as empresas estão achando difícil projetar uma estratégia de segurança abrangente e duradoura.
Esta arquitetura de referência do sistema abrange as diferentes maneiras de estruturar o F5® SSL Orchestrator® e o Palo Alto Networks Next-Gen Firewall (NGFW) em topologias de rede, ao mesmo tempo em que aborda desafios de visibilidade, privacidade e conformidade regulatória.
O F5 SSL Orchestrator fica entre a infraestrutura de TI e a Internet, criando uma zona de descriptografia que você pode usar para inspeção. Dentro da zona de descriptografia, dispositivos de segurança como o Palo Alto Networks NGFW podem acessar os dados para detectar e mitigar ameaças ocultas, como malware.
A tecnologia avançada de descriptografia SSL/TLS da F5, o forte suporte de criptografia e as arquiteturas flexíveis ajudam a otimizar o uso de recursos, remover latência e adicionar resiliência à sua infraestrutura de inspeção de segurança. Como toda a comunicação é canalizada pelo SSL Orchestrator, ele também serve como um ponto estratégico de controle onde as políticas que abordam o risco operacional (desempenho, disponibilidade e segurança) são aplicadas.
O SSL Orchestrator fornece descriptografia de alto desempenho de tráfego SSL/TLS de entrada (de usuários da Internet para aplicativos da Web) e de saída (de usuários corporativos para a Internet). Conforme mostrado na Figura 1, o tráfego de saída é descriptografado e enviado ao Palo Alto Networks NGFW para inspeção e detecção.
Figura 1: O tráfego de saída está sendo descriptografado e enviado ao Cisco WSA.
Ambientes diferentes exigem arquiteturas diferentes. O SSL Orchestrator é oferecido em vários formatos e tamanhos para atender a diversos requisitos arquitetônicos.
Fator de forma |
Opções de capacidade |
Plataforma F5 SSL Orchestrator iSeries |
O hardware SSL Orchestrator iSeries de alto desempenho é otimizado para fornecer taxas de transferência de descriptografia de 1 GB, 5 GB, 10 GB e 20 GB e é ideal para sites corporativos regionais e centrais. |
F5® BIG-IP® Edição Virtual |
A edição virtual do SSL Orchestrator de alto desempenho pode ser usada para ampliar a arquitetura de descriptografia SSL para incluir sites de escritórios menores. |
Plataforma F5® VIPRION® (chassi) |
A plataforma VIPRION de ponta oferece taxas de transferência de descriptografia maiores que 100 GB, proporcionando a capacidade de agregar e gerenciar um volume cada vez maior de tráfego de rede. O design modular e os recursos de cluster permitem que o VIPRION seja facilmente dimensionado conforme as necessidades da rede evoluem. |
Uma pilha de segurança típica geralmente consiste em vários sistemas, como um NGFW, sistemas de detecção ou prevenção de intrusão (IDS/IPS), prevenção contra perda de dados e ferramentas de análise de malware. Todos esses sistemas exigem acesso a dados descriptografados para inspeção. O SSL Orchestrator integra-se facilmente às arquiteturas de segurança existentes e centraliza a descriptografia SSL/TLS em vários dispositivos de inspeção na pilha de segurança. Este design de “descriptografar uma vez e direcionar para muitos dispositivos de inspeção” aborda problemas de latência, complexidade e risco que podem ocorrer se cada dispositivo de segurança executar a descriptografia. Você também pode criar várias cadeias de serviços para diferentes fluxos de tráfego usando o mecanismo de contexto.
Figura 2: Decifre uma vez e direcione para muitos projetos de dispositivos de inspeção, usando encadeamento de serviço dinâmico.
O mecanismo de contexto do SSL Orchestrator fornece a capacidade de direcionar o tráfego de forma inteligente com base em decisões de política feitas usando critérios de classificação, categoria de URL, reputação de IP e informações de fluxo. Você também pode usar o mecanismo de contexto para ignorar a descriptografia para aplicativos e sites como finanças, serviços governamentais, assistência médica e outros semelhantes para fins legais ou de privacidade.
Figura 3: Mecanismo de contexto que fornece encadeamento de serviços e direcionamento de tráfego baseado em políticas.
O SSL Orchestrator oferece suporte a uma arquitetura de HA ativa-em espera: um sistema processa ativamente o tráfego enquanto o outro permanece em modo de espera até que seja necessário. O objetivo é diminuir qualquer tempo de inatividade e eliminar pontos únicos de falha. As informações de configuração e conexão do usuário são sincronizadas automaticamente entre os sistemas.
O SSL Orchestrator é implantado em linha no modo L2 ou L3 e pode ser configurado como um proxy de encaminhamento explícito, proxy de encaminhamento transparente ou proxy reverso. Quando integrado ao Palo Alto Network NGFW, o SSL Orchestrator pode ser conectado via L2 em linha, L3 em linha ou modo TAP somente de recebimento para direcionar o tráfego descriptografado, conforme mostrado na Figura 4.
Figura 4: Topologias de implantação do Cisco WSA suportadas pelo F5 SSL Orchestrator.
A Figura 5 mostra como o SSL Orchestrator se integra a uma arquitetura empresarial para centralizar a descriptografia do tráfego de entrada e saída na infraestrutura de inspeção.
Figura 5: Integração de orquestração SSL F5 na arquitetura de rede corporativa.
Conforme mostrado na Figura 6 abaixo, o SSL Orchestrator oferece suporte à agregação de links usando o protocolo de marcação VLAN IEEE 802.1q para fornecer redundância de links para maior tolerância a falhas.
Figura 6: agregação de links para redundância de portas.
O SSL e seu sucessor TLS estão se tornando mais comuns para proteger comunicações IP na Internet. Isso pode ser bom ou ruim. Ótimo, porque todas as comunicações são codificadas para evitar olhares curiosos. Mas potencialmente ruim, porque os invasores podem esconder malware dentro do tráfego criptografado. Se o tráfego criptografado for simplesmente passado, os sistemas de segurança não poderão interceptá-lo. E isso anula toda a estratégia de defesa em profundidade de sobreposição de funções de segurança.
O SSL Orchestrator, quando combinado com um sistema avançado de proteção contra ameaças como o Palo Alto Networks NGFW, pode resolver esses desafios de SSL/TLS centralizando a descriptografia dentro dos limites da empresa. Ele pode orquestrar o tráfego descriptografado por toda a pilha de segurança para inspeção, a fim de identificar e bloquear explorações de dia zero. Como resultado, esta solução permite maximizar os investimentos existentes em serviços de segurança para proteção contra malware e firewalls de última geração.
F5 (NASDAQ: (FFIV) dá às maiores empresas, provedores de serviços, governos e marcas de consumo do mundo a liberdade de entregar com segurança todos os aplicativos, em qualquer lugar, com confiança. A F5 fornece serviços de aplicativos de segurança e nuvem que permitem que as organizações adotem a infraestrutura que escolherem sem sacrificar a velocidade e o controle. Para mais informações, acesse f5.com. Você também pode seguir @f5networks no Twitter ou nos visitar no LinkedIn e no Facebook para obter mais informações sobre a F5, seus parceiros e tecnologias.
