让安全,更可靠丨加密流量环境下,如何保护好企业的数字资产?


 

背景介绍

每当我们讨论到数据资产信息安全的时候,我们最常接触到的信息加密传输的方式莫过于HTTPS,HTTPS的推出,主要是为了应对各种窃听和中间人攻击,以在不安全的网络上建立唯一安全的信道,并加入数据包加密和服务器证书验证。这使得网页基本不会被篡改,保证用户上网的安全。目前,HTTPS已经成为Web网站的主流选择。

需求分析

看不见的才是最大的威胁

有利就有弊,加密同时代表着不可见和隐藏信息。企业网络中加密流量日益增多,网络正在走向越来越不可见,加密给监测网络流量、识别和阻止加密流量中的威胁行为带来了极大的影响和挑战。

注:根据Zscaler的新威胁研究报告显示,未来针对绕过传统安全控制和监测的加密流量(SSL/TLS)的和威胁将增长260%,其中最易受到基于加密流量威胁的行业主要是:互联网、金融和保险、教育、政府、企业等等。据统计,自从2020年全球爆发新冠疫情以来,新冠疫情推动各种勒索软件激增,加密流量的和威胁增加了5倍,加密流量的数据泄露和窃取事件加速上升。

在加密流量日趋盛行的今天,面对日益增多的加密恶意流量,如何能够在加密流量环境下,保护好企业的数字资产和用户隐私的基础上,又能够保持对于网络的深度可见性,及时发现和阻止加密流量中的恶意行为,是我们需要认真思考的问题。

 

建设方案

第一种常见的处理方式:不处理

  • 这也是绝大多数用户目前的处理方式,同时意味着大量的威胁和恶意软件藏在加密流量的保护下,逃避检测,导致数据泄露和窃取事件的发生。

第二种解决方案:每台安全设备独立解密,串行处理,弊端有三:

  • 串行处理必然带来高延迟,影响上网体验。
  • 某些安全设备可以处理SSL流量,但往往会带来性能的大幅下降。
  • DLP等安全设备难以处理加密流量。

第三种解决方案:加密流量可视化

  • 通过专业的高性能解密设备,解密SSL流量;
  • 一次解密,镜像多份,分发给其他安全设备并行处理,实现加密流量可视化。

图注:山石网科加密流量可视化解决方案

 

山石网科应用交付AX系列(以下简称:ADC)是整个山石网科加密流量可视化解决方案中的最核心组件,支持三种常见的部署场景

场景1:外网流量访问内部资源,网站/邮件等加密流量

解决方案:因为管理员拥有内部资源的证书,所以可以将证书导入ADC,通过ADC的SSL代理/SSL卸载功能,同时配置SSL透视镜功能,镜像明文流量给安全设备

部署方式:反向代理

销售案例:ADC+IDPS/BDS/WAF/态势感知,防御未知威胁

场景2:内网用户访问Internet,HTTPS加密网站

解决方案:外部网站(如www.baidu.com)的证书,管理员无法获取,所以需要管理员在终端导入自签名CA证书(ADC支持主动提示证书安装),获取浏览器信任。然后在ADC上配置SSL透视镜功能,镜像明文流量。

部署方式:二层透明/三层路由

销售案例:ADC+DLP/上网行为管理,进行上网行为管理,防御信息泄露等

场景3:用户已经部署友商应用交付设备的场景

解决方案:这种情况建议ADC透明部署在交换机和友商应用交付设备之间,镜像明文流量给安全设备

部署方式:透明部署

销售案例:ADC+安全设备

核心功能

山石网科ADC在加密流量可视化场景下的核心功能有SSL透视镜,精准编排,证书集中管理。

  • SSL透视镜:内网用户访问HTTPS网站的场景下,ADC可以透明串联在现网中,解密后镜像明文流量给安全设备,不影响正常HTTPS业务。
  • 精准编排:精准编排流量,在ADC上可以绑定Policy或Zone,精准控制流量,只对感兴趣的域名生效。
  • 证书集中管理:山石网科ADC,是专业的SSL 解密设备,能够同时支持国密和商密证书,完美匹配客户证书类型;并且支持证书链,对证书进行统一管理,主动提示证书安装。

 

方案价值及主要优势

  • 硬件解密,性能强劲

    山石网科ADC采用硬件加速卡解密,不会影响负载均衡设备本身性能,并且直接镜像明文流量给安全设备,无需安全设备解密,保证安全设备的防护效果。

  • 支持国密,安全可靠

    山石网科ADC 能够同时支持国密和商密证书,适配多种场景,更加安全可靠。

  • 并行处理流量,降低延迟

    山石网科ADC解密流量之后,将明文流量并行发送给安全设备,相比于每台设备独立解密的模式,延迟大大降低。

  • 联动安全产品销售,防护性能最大化

    山石网科ADC可与同品牌以及友商的安全设备联动,将解密后的明文流量镜像给安全设备(FW,IPS,WAF,DLP,BDS等),保证HTTPS流量的安全。

图注:山石网科SSL透视镜海报