加密能保护网络流量免遭黑客与网络罪犯侵害,却阻止了安全及监测工具探知网络中传递的数据包的内部情况。事实上,许多企业机构都未对加密流量进行全面检查就任其流经自己的网络,黑客往往会利用加密来隐藏恶意软件并发起攻击,从而劫持用户网络。为了保持强健的防御能力以及降低安全漏洞和数据丢失的风险,我们必须对所有的网络流量进行解密、检查并再重新加密这一过程。
解密带来的负担
解密设备必须保证功能强大。为了抵御数据劫持,加密算法也日益变得越来越长而且逾加复杂。多年前,NSS实验室进行的测试表明,密码从1024位变为2048位后,8款领先的防火墙平均性能下降81%。事实上,针对SSL的解密无需在防火墙处完成。而现在,一些新策略已支持offload解密工作,并向工具发送明文,从而让其高效工作并处理更多流量。以下四项策略可让解密变得更加轻松、快速且经济高效。
策略一:在解密前移除恶意流量
曾用于网络攻击的许多IP地址会被重新使用,并被公布于安全社区内。相关专门组织每天都会跟踪并确认已知的网络威胁,并将此类信息保存在情报数据库内。通过该数据库对流入及流出的数据包进行比对,我们可以辨别出恶意流量并从网络中对其加以阻止。由于对比是通过明文格式的包头完成的,该策略无需对数据包进行解密。提前将与已知攻击者相关的流量过滤掉可以减少需要解密的数据包数量。此外,对这部分同时将会引发安全警报的流量进行剔除也有助于安全团队提高效率。
部署此项策略的最快方法是在防火墙前端安装被称之为威胁情报网关的专用硬件设备。该设备旨在快速、大量地阻止恶意流量,包括来自未经验证国家的信息,并通过综合威胁情报源对其自身进行不间断的更新。安装后,该网关将无需人工干预,也无需创建或维护相应的过滤器。恶意流量要么被立即丢弃,要么被发送至沙箱接受进一步的分析。根据您所处的行业以及被恶意攻击的频率,您可以因此减少最高可达到80%的安全警报。
另外,我们也可以在防火墙上配置自定义的过滤器以阻止特定IP地址。但遗憾的是,防火墙过滤器必须手动配置与维护,并且在能创建的过滤器数量方面也存在限制。随着联网设备与遭受攻击IP地址的爆炸性增长令防火墙能力捉襟见肘。此外,在防火墙一类高级设备上进行循环处理只为完成简单对比的操作,并不是阻止流量的经济高效方式。
策略二:寻求高级解密功能
对来往于恶意源头的加密数据包进行移除之后,余下的部分数据亦需要由解密设备加以处理。许多安全工具,例如下一代防火墙(NGFW)或入侵防御系统(IPS),均具有SSL解密功能。但是,NSS实验室发布的一篇文章警告称,某些安全工具可能未包含最新密钥,从而将导致在非标准端口上发生的SSL通信丢失,还有可能无法按照所宣称的吞吐率完成加密、甚至会在完全未实施解密的情况下快速建立某些连接。
密码学依赖于先人一步的预防措施。安全解决方案必须支持最新加密标准,结合各式各样的密钥与算法,并拥有使用更大2048位与4096位密钥以及更新Elliptic Curve密钥解密流量的能力。随着安全技术复杂度攀升,解决方案必须能够有效且经济高效地处理解密——即避免丢包、引发错误或者未能完成全面检查。
随着SSL流量数量的增加,为了实现完全的网络可视性,解密解决方案的质量将日渐重要。此外,“纵深防御”也成为公认的最佳实践,其通常需要使用多项同类最佳的安全设备(如:独立防火墙与IPS)。而让这些设备全部经历一遍流量解密与再加密将会导致安全工具效率低下,不仅会增加网络延迟,同时还会降低策略效力以及端到端的可视性。
策略三:选择操作简单的工具
另一项关键特性是管理员可以通过简单操作来创建并管理解密相关策略。那些杰出的解决方案可以提供基于拖放式的用户操作界面来完成过滤器的创建,从而有能力实现选择性的数据转发或者针对基于内容识别的数据脱敏,例如身份证,或银行卡号。这些解决方案还可以很容易为每个被使用的SSL密钥以及通信过程中产生的所有异常(如丢失的会话、SSL故障、无效证书以及出于策略原因而无需解密的会话)保存完整记录。对于审计、取证、网络故障排除以及容量规划而言,这些详细的日志都非常宝贵。
策略四:规划经济高效的可扩展性
随着加密流量数量的增加,解密将对安全基础架构的性能带来更大的影响,因此提前规划十分必要。虽然简单地“开启”防火墙中的SSL解密功能,或一体化威胁管理(UTM)解决方案似乎合情合理,但解密是一项需要在过程中进行大量处理的功能。由于SSL流量增加以及解密需要的更多周期,整体性能将会受到影响,工具同时也可能出现丢包。为了增强多功能设备中流量的流动能力,唯一的选项就是扩大整体容量。扩容会带来大量资本支出,同时为了确保设备能够承担解密,某些功能还将产生额外成本。
更好的一个选项是通过采用具有SSL解密功能的网络可视性解决方案或网络数据包中转设备(NPB)来实现SSL解密从而实现针对安全工具的SSL卸载。许多企业机构利用网络数据包中转设备汇聚网络流量、识别相关数据包并将其高速分发给安全工具。使用硬件加速的网络数据包中转设备可以在零丢包的情况下以线速处理流量,并实现自动化负载均衡。另外,它们无需多种串联设备来进行各自独立的解密/再加密。扩展网络数据包中转设备的成本低于扩展大部分安全设备的成本,并可以提供快速的投资回报。
结论
随着更多的互联网转向加密流量,SSL流量内的攻击将变得更加普遍。为了保护数据与网络免遭黑客与网络罪犯侵害,检查所有加密的网络流量势在必行。尚未实施严格加密流量检查制度的企业将令网络安全性大打折扣,并带来因漏洞与数据丢失引发的难以承受的风险。但幸运的是,以提高SSL解密效率与经济效益为目标的新型解决方案正不断涌现。