採用SSL加密的網路流量日漸增加,甚至幾個主要的瀏覽器和大型網站服務,都在積極推動HTTPS的使用,根據全球使用者向Google伺服器提出的網頁存取要求中,使用加密連線的比例,最近已經高達85%,這樣的機制,雖然有助於提升瀏覽網頁過程時的祕密性,卻也增加了網路安全控管的難度。

對此,市面上出現許多強調能透視或檢測SSL加密流量的安全設備,例如,應用程式派送控制器(ADC)、網站應用程式防火牆(WAF)、次世代防火牆(NGFW)、次世代網路入侵防禦系統(NGIPS),甚至有廠商推出了專屬的設備,例如Blue Coat的SSL Visibility Appliance,而在今年初,F5也看到這部分的市場潛力,在新的安全產品線Herculon系列當中,推出了SSL Orchestrator,對應這類型的網路防護應用需求,他們期望,企業能將整體安全基礎架構下的SSL流量加解密處理功能,交由這套解決方案來集中管理。。

就產品形式而言,SSL Orchestrator本身是整合軟硬體功能的應用設備,當中結合了多種功能,以及支援SSL網路流量最佳化的硬體規格,目前區分為i10800、i5800、i2800等三款機型,能夠協助企業更清楚地掌握自身網路所傳輸的SSL/TLS加密流量,同時,能夠促使既有網路安全設備在這樣的加密傳輸下,依然能夠發揮良好作用。

這套解決方案對於SSL/TLS加密流量,提供了政策式的管理與透視能力,而對於後續傳送到既有網路安全設備,進行分析、過濾的流量,能夠藉此更有效地掌控,使其與這些防護措施之間,能夠密切地整合。

相較於既有的網路資安防護多半採取固定的配置方式,依照所處的網路位置,依序進行惡意活動的過濾與阻擋的動作,SSL Orchestrator的作法打破了這個制式流程,提供了動態服務鏈的方式,能夠靈活地指揮公司現有資安防護方案的串連處理機制,對防毒軟體、惡意軟體防護系統、網路入侵偵測與防禦系統、防火牆、DLP的執行順序進行調度,而在這樣的特色下,也等於呼應了SSL Orchestrator本身的產品名稱。

透過動態服務鏈,企業可以根據網址比對與預先訂定的政策,來決定所面對的網路加密流量,應該直接放行、不檢查,或是進行解密,並將這些流量傳送至資安解決方案進行處理,如此可節省相關的管理成本,並且善用現有的資安產品,使其能繼續發揮把關的作用,不致因為SSL加密流量而無法作用。

面對SSL加密網路流量,SSL Orchestrator提供強大的處理能力,本身同時具備SSL卸載(SSL offload)的功能。而在加密協定的支援上,F5這套解決方案也支援新興的標準,例如,TLS仍在草案制定階段的最新版本1.3,以及蘋果App提交至App Store時須使用的ATS(Apple Transport Security)。

圖中是SSL Orchestrator的建置架構,可分為多個部分,像是Ingress device、Egress device、Inline services、Receive-only services、ICAP services等多種服務,以及解密流量所在的區域Decrypt zone。

除了SSL效能與支援標準,在政策式管理的部分,F5在Herculon SSL Orchestrator當中,還提供了動態服務鏈(Dynamic Service Chaining)的特色,企業可以運用具有情境感知能力(context­aware)的政策,靈活部署各種網路安全防護機制。

而這個動態服務鏈,能夠與防火牆、網路入侵偵測防禦系統、網頁防護閘道、資料外洩防護系統,以連鎖反應的方式進行協同防禦。

在這套基於政策而成的動態服務鏈當中,SSL Orchestrator的使用,可根據連線流量的不同特性,而進行後續的解密,以及安全服務的套用。

為此,SSL Orchestrator內建了分類引擎,可區分:來源IP位址、目的IP位址、IP智慧服務(IP Intelligence)、IP位址所在的地理位置、網域名稱、網址過濾類別、連線目的地的連線埠號,以及所用的通訊協定。

以上圖來看,我們可以注意到不同的動態服務鏈,各自所包含的安全服務項目是可以不同的。

在SSL Orchestrator的管理介面中,我們可以透過架構圖的形式,看到目前與加密網路流量處理相關的各項服務,並且可以看到動態服務鏈的配置。

圖中是針對TCP協定的服務鏈分類處理規則,事實上,每一條規則可以選擇進入的連線,讓你設定的服務鏈能夠處理,而且搭配4個過濾器,用來比對:來源IP位址(用戶端網路位址)、連線目的地資訊、應用系統的通訊協定。其中的連線目的地資訊,包含IP位址、所屬的IP智慧服務類別、IP位址的地理區域、網域名稱、網域的網址過濾類別、網路服務埠號;而應用系統使用的通訊協定,系統將根據所用的網路埠與偵測到的協定來判斷。

若要了解SSL Orchestrator目前處理的加密流量狀態,F5也提供了圖形儀表板形式的呈現,透過這樣的分析,協助企業快速掌握。

具體而言,SSL Orchestrator主要是利用分類處理的方式來進行——系統將根據網路流量當中的多種資訊,像是網域名稱、內容分類、地理位置,以及IP位址的信譽度等連線的相關脈絡,來決定後續該進行的動作(略過不檢查、解密或轉送到另一個服務)。

因此,在這樣基於政策的處理架構下,企業就毋須透過金鑰與憑證管理的作法,就能掌握加密流量的動向。

同時,SSL Orchestrator既然強調與多種網路安全設備的整合運用,實際上,能夠相互搭配的廠牌與產品有哪些呢?F5表示,這套解決方案能與Cisco、Symantec、FireEye等公司的資安產品互通,具體而言,F5目前針對FireEye NX系列、Palo Alto PA系列、Cisco ASA FirePOWER系列、Symantec DLP等產品,提供了詳細的部署指南。

產品資訊

F5 Herculon SSL Orchestrator
●原廠:F5(02)8712-6828
●建議售價:廠商未提供
●機型:i10800(8核Xeon、128GB記憶體)、i5800(4核Xeon、48GB記憶體)、i2800(雙核Xeon、16GB記憶體)
●支援加密協定:TLS 1/1.1/1.2、DTLS1、RSA、DHE、ECDHE、SHA、SHA2、AES、AES-GCM
●網路硬體加密模組:Thales、Gemalto

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容