近日,信息安全圈的最大新闻莫过于Open SSL的心脏出血(Heartbleed)漏洞。由于OpenSSL在诸如Apache、Nginx等开源软件上的广泛应用,该漏洞给整个互联网行业带来了严峻挑战。漏洞发生在OpenSSL对TLS的心跳扩展(RFC6520)的实现代码中,由于遗漏了一处边界检查,使攻击者无需任何特权信息或身份验证,就能够从服务器内存中读取请求存储位置之外的多达64 KB的数据,可能包含证书私钥、用户名与密码、聊天消息、电子邮件以及重要的商业文档和通信等数据。目前,可能受到该漏洞影响的著名网站包括支付宝、淘宝、雅虎、微信等。
当大型互联网公司的攻城师、专业安全厂商的白帽子以及不见光领域的黑客们加班加点不断打补丁、发预警通知、升级系统、漏洞攻击测试、攻击扩展推衍时,缺乏技术力量支撑的企业及政府用户不禁要问,我们该怎么做?很明显,传统的安全防护手段是难以奏效的,传统的安全产品如UTM、NIPS、 NGFW等完全不对SSL流量进行检测,而打补丁升级的方式需要对OpenSSL库进行重编译,甚至是对整个系统进行较大的升级调整。
有没有简单可行的解决方案?答案是有。太一星晨推出的T-Force应用交付产品,支持基于硬件的SSL卸载和加速,通过完整HTTP代理模式,可将原本由服务器进行的SSL加解密的工作完全接管。而在T-Force应用交付产品中,采用了经过专门安全加固的SSL协议栈和最高性能达20Gbps的ASIC硬件加速卡,不但完全避免了Heartbleed漏洞的影响,而且可以大幅提升整个业务系统的SSL处理能力。同时,采用太一星晨T-Force方案时,用户的业务系统无需做任何升级,大幅提升了部署速度。
目前,太一星晨已协助部分用户进行了配置更新,以快速解决Heartbleed的威胁。