A10:突破資安盲點,掌握加密流量完整可視性

根據Google的統計目前全球已有61%的網路流量採SSL加密,且不幸的是網路上有將近一半(45%)也是以SSL加密方式施展攻擊。也就是說,加密雖然加強了我們的隱密性,卻同時隱密了駭客的攻擊,若不能查驗加密的內容,我們就無法防止資安危害。A10 Networks技術經理陳玉軍道出今日資安防護的一大挑戰。

A10 Networks技術經理陳玉軍

如果無法知道進出企業的加密內容,那麼企業購置的資安設備,如防火牆、入侵偵測防護等,其效用將大打折扣,只能解析剩餘未採行SSL加密的39%流量。

若不能查驗加密的內容,我們就無法防止資安危害。

雖然有業者標榜其資安設備能支援解密檢測,但付出的代價是折損原有的防護執行效能,以NSS Labs的研究為例,不同類型的資安設備在啟用解密功能後,其原有的防護執行效能必然減弱,輕則10%內的折損,重則超過60%,設備防護執行的效能只剩30%左右,同時有傳輸延遲的問題。

SSL Insight方案可以彈性地佈署,不需要變動企業原有網路架設,另也支援ICAP旁通傳遞、VRRP-A的高可用性連接或許單一部設備的折損不多,但企業內有多種資安設備,每個設備均啟動解密功能,串連起來的結果是效能折扣再折扣,其效能折損度便很明顯。因此,建議企業購置一台專責於SSL解密的設備,由其解密後再將明碼內容交給各防護設備解析內容安全性,最後再重新加密回來,如此不僅增強防護同時也將效能折損降至最低。

 

另外加密內容中真的帶有惡意威脅嗎?答案是肯定的,加密內容可能藏有接收到惡意信件、不明來源下載的惡意檔案、惡意的遠端操控指令等,這些均需要解密解析以確保安全。此即需要A10的SSL Insight系列解決方案,亦即Thunder系列設備。

 

有瞭解密設備後,也不表示所有加密流量均要進行解密,例如個人連線至網路銀行即不希望被解密,或者是上網報稅等,這時可以在設備中進行設備,建立Bypass清單,即可讓信任的流量自由通行。

此外SSL Insight方案可以彈性地佈署,不需要變動企業原有網路架設,另也支援ICAP旁通傳遞、VRRP-A的高可用性連接等,而最高階的方案亦整合HSM,將提供企業更高層次的防護。

創泓科技股份有限公司  台北總公司

Uniforce Technology Corporation

台北市內湖區洲子街77號10樓

電話 +886-2-2658-3077 

傳真 +886-2-2658-3097

服務專線 0809-085-580

技 術 客 服    0809-085-580

業 務 部 門    台北 - 222 / 221 / 205 / 226 / 288

技 術 部 門    台北 - 301 / 302 / 303 / 308 / 309

Copyrights © 2019 uniforce Technology Co., Ltd.