让安全，更可靠丨加密流量环境下，如何保护好企业的数字资产？

---

 

背景介绍

每当我们讨论到数据资产信息安全的时候，我们最常接触到的信息加密传输的方式莫过于HTTPS，HTTPS的推出，主要是为了应对各种窃听和中间人攻击，以在不安全的网络上建立唯一安全的信道，并加入数据包加密和服务器证书验证。这使得网页基本不会被篡改，保证用户上网的安全。目前，HTTPS已经成为Web网站的主流选择。

需求分析

看不见的才是最大的威胁

有利就有弊，加密同时代表着不可见和隐藏信息。企业网络中加密流量日益增多，网络正在走向越来越不可见，加密给监测网络流量、识别和阻止加密流量中的威胁行为带来了极大的影响和挑战。

注：根据Zscaler的新威胁研究报告显示，未来针对绕过传统安全控制和监测的加密流量（SSL/TLS）的和威胁将增长260％，其中最易受到基于加密流量威胁的行业主要是：互联网、金融和保险、教育、政府、企业等等。据统计，自从2020年全球爆发新冠疫情以来，新冠疫情推动各种勒索软件激增，加密流量的和威胁增加了5倍，加密流量的数据泄露和窃取事件加速上升。

在加密流量日趋盛行的今天，面对日益增多的加密恶意流量，如何能够在加密流量环境下，保护好企业的数字资产和用户隐私的基础上，又能够保持对于网络的深度可见性，及时发现和阻止加密流量中的恶意行为，是我们需要认真思考的问题。

 

建设方案

第一种常见的处理方式：不处理

• 这也是绝大多数用户目前的处理方式，同时意味着大量的威胁和恶意软件藏在加密流量的保护下，逃避检测，导致数据泄露和窃取事件的发生。

第二种解决方案：每台安全设备独立解密，串行处理，弊端有三：

• 串行处理必然带来高延迟，影响上网体验。
• 某些安全设备可以处理SSL流量，但往往会带来性能的大幅下降。
• DLP等安全设备难以处理加密流量。

第三种解决方案：加密流量可视化

• 通过专业的高性能解密设备，解密SSL流量；
• 一次解密，镜像多份，分发给其他安全设备并行处理，实现加密流量可视化。

图注：山石网科加密流量可视化解决方案

 

山石网科应用交付AX系列（以下简称：ADC）是整个山石网科加密流量可视化解决方案中的最核心组件，支持三种常见的部署场景：

场景1：外网流量访问内部资源，网站/邮件等加密流量

解决方案：因为管理员拥有内部资源的证书，所以可以将证书导入ADC，通过ADC的SSL代理/SSL卸载功能，同时配置SSL透视镜功能，镜像明文流量给安全设备

部署方式：反向代理

销售案例：ADC+IDPS/BDS/WAF/态势感知，防御未知威胁

场景2：内网用户访问Internet，HTTPS加密网站

解决方案：外部网站（如www.baidu.com）的证书，管理员无法获取，所以需要管理员在终端导入自签名CA证书（ADC支持主动提示证书安装），获取浏览器信任。然后在ADC上配置SSL透视镜功能，镜像明文流量。

部署方式：二层透明/三层路由

销售案例：ADC+DLP/上网行为管理，进行上网行为管理，防御信息泄露等

场景3：用户已经部署友商应用交付设备的场景

解决方案：这种情况建议ADC透明部署在交换机和友商应用交付设备之间，镜像明文流量给安全设备

部署方式：透明部署

销售案例：ADC+安全设备

核心功能

山石网科ADC在加密流量可视化场景下的核心功能有SSL透视镜，精准编排，证书集中管理。

• SSL透视镜：内网用户访问HTTPS网站的场景下，ADC可以透明串联在现网中，解密后镜像明文流量给安全设备，不影响正常HTTPS业务。
• 精准编排：精准编排流量，在ADC上可以绑定Policy或Zone，精准控制流量，只对感兴趣的域名生效。
• 证书集中管理：山石网科ADC，是专业的SSL 解密设备，能够同时支持国密和商密证书，完美匹配客户证书类型；并且支持证书链，对证书进行统一管理，主动提示证书安装。

 

方案价值及主要优势

• 硬件解密，性能强劲

  山石网科ADC采用硬件加速卡解密，不会影响负载均衡设备本身性能，并且直接镜像明文流量给安全设备，无需安全设备解密，保证安全设备的防护效果。

• 支持国密，安全可靠

  山石网科ADC 能够同时支持国密和商密证书，适配多种场景，更加安全可靠。

• 并行处理流量，降低延迟

  山石网科ADC解密流量之后，将明文流量并行发送给安全设备，相比于每台设备独立解密的模式，延迟大大降低。

• 联动安全产品销售，防护性能最大化

  山石网科ADC可与同品牌以及友商的安全设备联动，将解密后的明文流量镜像给安全设备（FW，IPS，WAF，DLP，BDS等），保证HTTPS流量的安全。

图注：山石网科SSL透视镜海报