今年1月20日,川普正式就任美國第45任總統。從參選時所提出的美墨圍牆、美國第一等競選政見,到就職後所發佈的旅遊禁令、禁止難民進入等措施,川普的言行舉止總是引發許多的話題與爭議,讓保守派的支持者倍感振奮,卻也讓自由派的反對者無法接受。川普的當選,與近年來國際上不斷發生的恐怖攻擊事件,進而讓各國右派保守勢力抬頭的趨勢有很大的關聯。

美國運輸安全管理局TSA認證鎖

事實上,自從2001年911攻擊之後,這10多年來世界各地的恐怖攻擊事件層出不窮,讓各個國家都在竭盡全力的進行防範,尤其是美國更是時時如臨大敵。因此,人們的生活也會時常受到相關措施的影響;以來往美國旅行為例,搭機前的安檢變嚴了,不但要全身X光機掃描,還要脫外套、脫皮帶、脫鞋子。同時,隨身手提行李中的液體、膠狀物品及液化氣體也需符合每樣不超過100毫升的規定。

而在托運行李的部分,從2003年1月開始,美國運輸安全管理局TSA (Transportation Security Administration)便規定所有進入美國機場的行李必須打開接受檢查。托運行李要麼不上鎖,若要上鎖則需使用TSA認證鎖(TSA Recognized Locks,見圖一),海關檢查員手上都有一份海關專用的萬能TSA開鎖鑰匙,能夠打開行李進行檢查,檢查完後再重新鎖上行李。若是旅客使用了非TSA認證鎖來鎖住行李箱,則美國海關就有權破壞行李鎖來對托運行李進行檢查。

行李要上鎖,資料要加密

    旅行搭飛機托運行李時,許多人會選擇將行李箱上鎖,以確保行李箱內的個人物品不會被偷走。同樣地,大家上網購物、加入會員、輸入種種個人資料時,當然也會希望這些在網際網路上傳送的個人機敏資料是有被加密過,就算被竊取或複製也無法輕易被破解。

尤其是2013年6月爆發前美國中央情報局(CIA)職員、國家安全局(NSA)外包技術員史諾登(Edward Snowden)在香港將美國國家安全局關於稜鏡計劃監聽項目的秘密文件披露給媒體報導的事件之後,網路上傳送的封包及資料非常容易被監聽及竊取的情況已經是不爭的事實了。

HTTPS加密連線

    也因此,各個網站為了確保其客戶資料的安全,紛紛將網頁資料傳送由原本沒有加密的HTTP協定,更改為有安全加密機制的HTTPS協定。HTTPS連線利用SSL/TLS來加密封包,藉以在不安全的網路上建立一個安全通道,使用適當的加密套件和伺服器憑證來對竊聽和中間人攻擊提供適當的防範(資料來源:www.wikipedia.com)。

    包括Google、Yahoo、Facebook、Microsoft在內的各大IT企業及網站均全力導入HTTPS資料加密的傳送機制。YouTube更在2016年8月表示97%的YouTube網站流量已經是HTTPS加密了,而未來更要達到100%資料加密的目標(資料來源:“Google Encrypting Nearly 100 Percent of YouTube Video Streams”,www.eweek.com,2016/08/03)。

SSL流量比率近年來暴增

    身為搜尋引擎龍頭的Google也不遺餘力地在推廣HTTPS/SSL加密的使用,不但建立安全防護小組,能夠偵測出具有風險的網站,並通知使用者和網站管理員,避開可能造成危害的網站,而且還設計了「安全瀏覽」機制來讓使用者安心(見圖二)。此外,Google在2014年8月也宣布將HTTPS加密機制作為網站搜尋結果的排名考量依據,讓有使用HTTPS安全加密網站的排名提升到前面(資料來源:“HTTPS as a ranking signal”,webmasters.googleblog.com,2016/08/06)。

    而隨著HTTPS/SSL加密愈來愈被重視,可想而知的是,網路上SSL加密資料流量的比率也會愈來愈高。根據安全應用服務領導廠商A10 Networks最近的一份報告顯示,SSL流量在2015年約佔網路流量的30%,在2016年會大幅成長至67%,並且在未來趨近到全部的100%(見圖三,“Top 6 dangers of not inspecting SSL traffic”,資料來源:A10 Networks)。

駭客也搶搭SSL順風車

    將網路上傳送的資料進行SSL加密確實強化了使用者的資料安全,但卻也為企業的資安防範新開了一個漏洞。駭客也趁機混水摸魚,藉SSL加密連線隱藏惡意攻擊,來達到入侵企業網路的目的。在2016年Ponemon Institute的研究報告“Uncovering Hidden Threats within Encrypted Traffic”中指出,41%的網路攻擊躲藏在加密資料流量裡,藉此迴避資安設備的偵測(見圖四,資料來源:Ponemon Institute)。

    而面對這些夾雜著駭客攻擊威脅的SSL加密資料,企業要照單全收,全部放行嗎?還是要將這些加密的封包一一解密檢測,攔下有害的封包,確定安全的資料再放行?答案應該是很清楚的。但同時,企業現行的網路架構有能力將加密封包一一解密檢測嗎?

將SSL封包像托運行李一樣開箱檢查

就像文章先前提到的,機場的服務及安檢人員為了確保旅客能夠順利平安的飛行,諸如X光機掃描及對上鎖的托運行李開箱檢查都是必要的措施。同樣的,企業為了確保資訊的安全,絕對有必要將SSL封包像托運行李一樣進行開箱檢查,才能夠防範躲藏在SSL加密流量中的駭客攻擊。

Gartner Group在“Security Leaders Must Address Threats From Rising SSL Traffic”報告中便表示:『沒有網路流量解密能力的企業,是無法抵抗躲藏在加密連結下的任何駭客攻擊』(資料來源:Gartner Group,2013/12/09)。可見,走在時代尖端的企業必須要盡快建立起針對網路加密流量的解密能力,才能符合現代資安的需求,及確保企業資訊的安全。

誰來解密?

    確認了要對SSL加密封包進行解密的策略,那要由誰來執行呢?打開企業的網路架構圖研究一下,Web Gateway、IPS、APT等設備都是可能的選項,次世代防火牆NGFW則會是更普遍的選擇。但不論企業挑選哪一樣設備來負責解密的任務,執行的效能永遠是企業IT人員需要重視的環節。就如同旅客不會在意TSA選派誰來檢查托運行李,但卻不能接受因為行李的檢驗而造成班機嚴重誤點一樣。

    不妙的是,依據NSS Labs對八個次世代防火牆業界龍頭產品的測試報告“SSL Performance Problems”顯示,這些次世代防火牆在解密封包時均遭遇到嚴重的效能衰退問題。尤其是對於愈來愈普遍、安全的2048位元金鑰長度的加密流量進行解密的時候,產品效能衰退的狀況更加明顯,NSS Labs測出來的平均效能損失竟高達81%(資料來源:“SSL Performance Problems”,NSS Labs,2013)。

SSL解密的專用設備

次世代防火牆的測試效果如此的令人失望,看來即使是使用其他的資安產品來兼著負責SSL解密的工作,效果也不會太好,這是因為一般的資安設備在卸載加密流量時往往需要使用大量的CPU運算而造成設備效能的問題。因此,難怪NSS Labs會宣稱:「在未使用SSL解密專用設備的情況下,企業網路中SSL檢測的可行性令人擔憂」。

    既然SSL解密的工作對企業來說愈來愈重要,但是想利用企業現有的資安設備來兼差負責這個任務的做法又會因為嚴重影響到資料傳輸的效能而不可行。看來,尋找一台專門用來進行SSL解密的設備才是較適當的選擇,也才符合NSS Labs的建議。

A10 Thunder SSLi解密專用設備

    事實上,一般的企業資安設備縱使能夠對網路流量進行深入的檢測與分析,卻很少能夠高速地處理加密的SSL流量,有些資安產品甚至根本完全無法解密SSL流量。有鑒於此,全球安全應用服務領導廠商A10 Networks便發展專為解密SSL流量的“SSL Insight”技術,並利用強大的專用SSL安全處理器來做硬體加速,以提供A10 Networks產品2048位元金鑰長度的高效能加解密性能,並具備未來處理4096位元金鑰的強大能力(見圖五,資料來源:A10 Networks)。

此外,2016年A10 Networks更推出了專屬的Thunder SSLi硬體設備產品,採用A10的SSL Insight技術,提供專屬、高效能的SSL解密功能,可消除網路中SSL流量所產生的盲點,並讓企業的安全設備能檢測加密流量,而不是只針對純文字檢測。透過Thunder SSLi專屬設備,可在解密SSL流量的同時維持網路的高效能,並將解密的資料轉送給其他的資安設備(例如防火牆、IPS)來進行深度封包檢測(DPI)。流量經過分析及清除後,Thunder SSLi會將其再次加密,並轉送到預定目的地(見圖六,資料來源:A10 Networks)。

A10 Thunder SSLi的主要功能與優點

    專為企業網路SSL流量擔任解密檢測任務的A10 Thunder SSLi設備,能夠高速解密 SSL 流量,消除所有企業的防禦盲點。每台設備都提供卓越的效能,以降低耗電成本,確保實現環保綠能方案。Thunder SSLi 搭配高密度 1 GbE、10 GbE 及40 GbE 連接埠選項,可符合最高的網路頻寬需求,其主要的功能與優點包括(資料來源:A10 Networks):

  • 以SSL加速硬體達到高效能:Thunder SSLi配備強大的專屬SSL安全處理器,並可擴充以滿足大量流量需求。
  • 選擇性管理流量:Thunder SSLi使用ICAP通訊協定,能夠與協力廠商的資安設備互動,決定流量是否應受SSL Insight的控制。此外,URL分類服務則可強制執行隱私權政策,避免檢查前往醫療或金融機構的流量。
  • 單點解密及分析:企業通常會部署多個資訊安全設備,來進行各種資安防範。SSL Insight可集中一次解密SSL流量,並以明碼將其傳送到各種設備,不需要每個設備各自重複解密流量。Thunder SSLi與防火牆、Web Gateway、IPS、UTM、DLP、威脅預防平台及網路鑑識/Web監控工具等各式各樣的設備均能夠合作互通(見圖七)。
  • 全方位且可擴充的管理功能:為了簡化及自動化管理,Thunder SSLi 提供了業界標準 的CLI、Web使用者介面及RESTful API(aXAPI),能夠與協力廠商或自訂管理主控台整合。對於較大規模的部署,則aGalaxy集中管理系統可以確保例行作業在多個Thunder 設備大規模執行,不受實體位置影響。

A10與各大資安廠商合作無間

    既然A10 Thunder SSLi要協助客戶做到單點解密SSL流量、不需每個資安設備各自重複解密的功能,自然要與各個資安廠商合作無間。於是,A10 Networks在2104年便宣布攜手 RSA、Arista、FireEye、FlowTraq、IBM Security、Ping Identity、Pulse Secure、Symantec、Vectra、Venafi、Webroot等多家資安領導廠商,成立A10安全聯盟(A10 Security Alliance),藉由與多家廠商共同組成的生態圈,聯手抵禦網路威脅攻擊並實現自動化安全運作。(資料來源:“A10 Networks與多家資安廠商合作成立安全聯盟”,科技新報,2014/11/07)。

    此外,A10 Networks更於2016年宣布加入成為Cisco Solution Partner Program的合作夥伴,藉以讓A10與Cisco的解決方案與產品能夠達到更緊密的整合。而透過與各大資安廠商的策略聯盟,A10 SSLi的設備便能夠安裝在企業DMZ資安特區(Security Zone)的前後端,為企業網路流量做集中單一次的加解密,進而重新定義企業DMZ資安特區的架構(見圖八,資料來源:A10 Networks)。

行李要開箱安檢、資料也要解密檢測

    『現代的滲透攻擊手法中,駭客也會利用SSL加密封包來傳送惡意程式或盜取機敏資料,藉以迴避企業資安機制的檢測。』A10 Networks台灣區資深技術總監簡偉傑表示:『透過A10 Thunder SSLi專屬SSL解密產品,企業能夠高效率的檢測及解析連線資料內容,並僅執行一次性解密後提供IPS、防火牆等資安設備進行偵測與分析,確認內容安全性後再加密地送至目的位址。』(資料來源:“SSL Insight深度解析,確保加密流量安全性”,網管人,2016/04/06)。

旅客要將托運行李上鎖來確保物品不會被偷,而機場則要求將托運行李開箱安檢來保障飛航的安全。使用TSA認證鎖,然後兩個步驟並行才能夠既滿足旅客的需求,又符合運輸安全管理局的規範。同樣地,在企業的資安威脅與用戶資料保護的雙重要求下,愈來愈多的網站會對資料進行加密來保護用戶資料,而企業的資安架構則也需要架設起如同A10 Thunder SSLi的專屬解密設備。如此,才能夠確保企業免於遭受到隱藏在加密資料中的駭客攻擊,並擁有高效能的企業網路。


Advertisement

更多 iThome相關內容