透視SSL加密流量並能與資安系統協防，F5推出檢測分析設備

採用SSL加密的網路流量日漸增加，甚至幾個主要的瀏覽器和大型網站服務，都在積極推動HTTPS的使用，根據全球使用者向Google伺服器提出的網頁存取要求中，使用加密連線的比例，最近已經高達85％，這樣的機制，雖然有助於提升瀏覽網頁過程時的祕密性，卻也增加了網路安全控管的難度。

對此，市面上出現許多強調能透視或檢測SSL加密流量的安全設備，例如，應用程式派送控制器（ADC）、網站應用程式防火牆（WAF）、次世代防火牆（NGFW）、次世代網路入侵防禦系統（NGIPS），甚至有廠商推出了專屬的設備，例如Blue Coat的SSL Visibility Appliance，而在今年初，F5也看到這部分的市場潛力，在新的安全產品線Herculon系列當中，推出了SSL Orchestrator，對應這類型的網路防護應用需求，他們期望，企業能將整體安全基礎架構下的SSL流量加解密處理功能，交由這套解決方案來集中管理。。

就產品形式而言，SSL Orchestrator本身是整合軟硬體功能的應用設備，當中結合了多種功能，以及支援SSL網路流量最佳化的硬體規格，目前區分為i10800、i5800、i2800等三款機型，能夠協助企業更清楚地掌握自身網路所傳輸的SSL/TLS加密流量，同時，能夠促使既有網路安全設備在這樣的加密傳輸下，依然能夠發揮良好作用。

這套解決方案對於SSL/TLS加密流量，提供了政策式的管理與透視能力，而對於後續傳送到既有網路安全設備，進行分析、過濾的流量，能夠藉此更有效地掌控，使其與這些防護措施之間，能夠密切地整合。

相較於既有的網路資安防護多半採取固定的配置方式，依照所處的網路位置，依序進行惡意活動的過濾與阻擋的動作，SSL Orchestrator的作法打破了這個制式流程，提供了動態服務鏈的方式，能夠靈活地指揮公司現有資安防護方案的串連處理機制，對防毒軟體、惡意軟體防護系統、網路入侵偵測與防禦系統、防火牆、DLP的執行順序進行調度，而在這樣的特色下，也等於呼應了SSL Orchestrator本身的產品名稱。

透過動態服務鏈，企業可以根據網址比對與預先訂定的政策，來決定所面對的網路加密流量，應該直接放行、不檢查，或是進行解密，並將這些流量傳送至資安解決方案進行處理，如此可節省相關的管理成本，並且善用現有的資安產品，使其能繼續發揮把關的作用，不致因為SSL加密流量而無法作用。

面對SSL加密網路流量，SSL Orchestrator提供強大的處理能力，本身同時具備SSL卸載（SSL offload）的功能。而在加密協定的支援上，F5這套解決方案也支援新興的標準，例如，TLS仍在草案制定階段的最新版本1.3，以及蘋果App提交至App Store時須使用的ATS（Apple Transport Security）。

圖中是SSL Orchestrator的建置架構，可分為多個部分，像是Ingress device、Egress device、Inline services、Receive-only services、ICAP services等多種服務，以及解密流量所在的區域Decrypt zone。

除了SSL效能與支援標準，在政策式管理的部分，F5在Herculon SSL Orchestrator當中，還提供了動態服務鏈（Dynamic Service Chaining）的特色，企業可以運用具有情境感知能力（context­aware）的政策，靈活部署各種網路安全防護機制。

而這個動態服務鏈，能夠與防火牆、網路入侵偵測防禦系統、網頁防護閘道、資料外洩防護系統，以連鎖反應的方式進行協同防禦。

在這套基於政策而成的動態服務鏈當中，SSL Orchestrator的使用，可根據連線流量的不同特性，而進行後續的解密，以及安全服務的套用。

為此，SSL Orchestrator內建了分類引擎，可區分：來源IP位址、目的IP位址、IP智慧服務（IP Intelligence）、IP位址所在的地理位置、網域名稱、網址過濾類別、連線目的地的連線埠號，以及所用的通訊協定。

以上圖來看，我們可以注意到不同的動態服務鏈，各自所包含的安全服務項目是可以不同的。

在SSL Orchestrator的管理介面中，我們可以透過架構圖的形式，看到目前與加密網路流量處理相關的各項服務，並且可以看到動態服務鏈的配置。

圖中是針對TCP協定的服務鏈分類處理規則，事實上，每一條規則可以選擇進入的連線，讓你設定的服務鏈能夠處理，而且搭配4個過濾器，用來比對：來源IP位址（用戶端網路位址）、連線目的地資訊、應用系統的通訊協定。其中的連線目的地資訊，包含IP位址、所屬的IP智慧服務類別、IP位址的地理區域、網域名稱、網域的網址過濾類別、網路服務埠號；而應用系統使用的通訊協定，系統將根據所用的網路埠與偵測到的協定來判斷。

若要了解SSL Orchestrator目前處理的加密流量狀態，F5也提供了圖形儀表板形式的呈現，透過這樣的分析，協助企業快速掌握。

具體而言，SSL Orchestrator主要是利用分類處理的方式來進行——系統將根據網路流量當中的多種資訊，像是網域名稱、內容分類、地理位置，以及IP位址的信譽度等連線的相關脈絡，來決定後續該進行的動作（略過不檢查、解密或轉送到另一個服務）。

因此，在這樣基於政策的處理架構下，企業就毋須透過金鑰與憑證管理的作法，就能掌握加密流量的動向。

同時，SSL Orchestrator既然強調與多種網路安全設備的整合運用，實際上，能夠相互搭配的廠牌與產品有哪些呢？F5表示，這套解決方案能與Cisco、Symantec、FireEye等公司的資安產品互通，具體而言，F5目前針對FireEye NX系列、Palo Alto PA系列、Cisco ASA FirePOWER系列、Symantec DLP等產品，提供了詳細的部署指南。

產品資訊

F5 Herculon SSL Orchestrator
●原廠：F5(02)8712-6828
●建議售價：廠商未提供
●機型：i10800（8核Xeon、128GB記憶體）、i5800（4核Xeon、48GB記憶體）、i2800（雙核Xeon、16GB記憶體）
●支援加密協定：TLS 1/1.1/1.2、DTLS1、RSA、DHE、ECDHE、SHA、SHA2、AES、AES-GCM
●網路硬體加密模組：Thales、Gemalto

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】