透視SSL加密流量並能與資安系統協防

自2017年一月,Google 推出的 Chorme 56版,在安全方面做了相當大的著墨,針對收集密碼或信用卡號的 HTTP 網頁標記為「不安全」; Let ’s Encrypt自推出的三個月,已簽發出100萬個安全憑證,成為普及網站 HTTPS 的推手之一。除了企業網站,越來越多機構單位也對傳輸工具─從e-mail、社群通訊或是影音串流─透過SSL/TLS建立加密通道,確保員工、客戶或是合作夥伴傳輸資訊的安全性。

不只是需要保護的內容被加密,網路駭客使用的攻擊語法,也透過合法加密通道進行傳輸,SSL/TL對傳輸內容的加密,儼然成為一把兩面刃。儘管我們早已身處在皆是 SSL/TLS 的時代,根據 Ponemon 調查研究報告顯示,只有 29% 從業者對組織內的加密訊息,已檢測並且確保沒有惡意程式。近年各廠牌的安全設備群雄崛起,例如次世代防火牆、入侵偵測系統、網【產品方案】F5 SSL Orchestrator - 透視SSL加密流量並能與資安系統協防頁應用程式防火牆、網頁內容安全閘道或是APT解決方案,族繁不及備載,皆宣稱對於 SSL/TLS 加密內容的可視性。

為因應傳輸內容加密的趨勢,F5 的解決方案 Herculon SSL Orchestrator 也加入了戰局。傳統加密傳輸導入架構,如同棧板一般層層堆疊出線型鍊,所有用戶、主機,無論任何連線類型或是安全規範等級,都在相同的設備路徑傳遞,不僅增加路徑上設備加解密的負擔,也大幅增加多點故障風險以及網路延遲。

相較於傳統線型鍊,F5 使用星狀架構導入,接收所有傳輸的密文,透過動態資安服務鍊特性,依照 URL 分類、IP 地理位置、IP 聲譽系統(F5 IP Intelligence)或其他政策條件,進行通訊內容解密並且送往特定的安全設備作內容檢視;同時針對多台相同角色的安全設備運行狀態監控以及負載分流,使得安全設備獲得有效率地利用。

Apple 更於 WWDC2016 發布所有 iOS 應用程式需要遵循 ATS,其要求支援向前保密演算法(Forward Secrecy)的加密版本,如ECDHE,許多安全設備尚未支援如此強度的加密模組,甚至效能無法乘載大量加解密的運行,或是效能減損的現實問題;F5 SSL Orchestrator使用先進的SSL運算晶片,提升加密的資源卸載。

然而只是加密是不足夠的,加密所用的金鑰保管也是安全機制重要一環,F5支援內建或是外部硬體加密模組(Hardware Security Module),符合FIPS法規,提高F5在SSL廠商之間的定位。

左右滑動看表格
 

F5 GTM

DNS Server

需內建或支援DNS 服務,支援標準 DNS SOA, A, Cname,MX record,並可並可擴充 DNSSec 安全服務

V

V

自動控制全區 DNS 記錄更新檔案無需重啟 DNS服務 

V

透過Zone Transfer功能,無法達到2台以上自己同步

支援每秒至少 480,000 DNS 查詢 

480,000 DNS rps

5-6000 DNS rps

針對一個DNS A Record可以依據負載平衡演算法回應最佳的IP Address

V

X

支援SIPOraclePOP3SMTPHTTPFTP等應用程式檢查機制決定DNS回應結果

 V

X

可整合後端負載平衡伺服器的檢查機制做為廣域負載平衡條件

 V

X

支援針對每個Domain nameDNS TTL 客制化

 V

需透過第三方管理軟體或手動CLI進行設定

依據Topology, 自定地區,國家及LDNS IP地址作出自定負載平衡演算法 

 V

X

支援自定工具及程式語言,可改變網路DNS回應特定RECORD型態或是IP回應結果並支援IP v6 IP v6 DNS 服務

 V

X

需內建地理位址資料庫並具備地理資料庫更新功能,可針對來源位址資訊如服務供應商、IP、國家(城市)..等辨識地理位址,並依據不同地區來源地理位址提供不同的URL頁面內

 V

X

需提供IP攻擊資料庫,可依據以下攻擊類型自訂防禦策略Windows exploitsWeb attacksBotnetsScannersDenial of ServiceInfected SourcesPhishingMalwareBOTExploit等惡意攻擊IP資訊,並可以依安全政策進行防禦