访问安全
上网行为管理AC SSL VPN 硬件VPN云安全
信服云盾 信服云眼 重构入云业务安全边界边界安全
下一代防火墙AF WAF终端安全
终端检测响应平台EDR 企业移动管理EMM身份安全
EasyConnct 行为感知系统BA威胁检测
安全感知平台SIP病毒防护
网络防病毒等级保护
等保2.0安全审计与运营
数据库安全审计DAS云服务
私有云 公有云 云杀毒 云监控 混合云 云搬迁微软云
微软云介绍 微软云优势 微软云解决方案 微软云案例阿里云
阿里云介绍 阿里云产品 阿里云解决方案 阿里云案例钉钉
钉钉简介 钉钉定制开发推荐视频
发布者:上海IT外包来源:http://www.lanmon.net点击数:2009
加密保护网络流量免受黑客和网络罪犯的攻击,但阻止了安全和监视工具对网络中传输的数据包的内部条件进行探索。事实上,许多企业没有彻底检查加密的流量并让其流过网络。黑客经常使用加密来隐藏恶意软件并发起攻击,从而劫持用户网络。为了保持强大的防御能力,减少安全漏洞和数据丢失的风险,我们必须对所有网络流量进行解密、检查和重新加密。
解密负担
解密设备必须强大。为了抵抗数据劫持,加密算法变得越来越长和更复杂。多年前NSS实验室进行的测试表明,在密码从1024改为2048之后,8个领先防火墙的平均性能下降了81%[1]。事实上,SSL的解密不需要在防火墙中进行。现在,一些新的策略支持卸载解密,并将明文发送给该工具,以使其高效地工作,并处理更多的流量。以下四种策略可以使解密更加容易、更快、更经济。
策略1:在解密之前删除恶意通信量
用于网络攻击的许多IP地址将在安全社区中重用并发布。相关专门机构每天跟踪和确认已知的网络威胁,并将这些信息存储在智能数据库中。通过比较数据库中的传入和传出数据包,我们可以识别恶意流量,并从网络中阻止它。由于比较是通过明文包头进行的,所以该策略不需要对数据包进行解密。与已知攻击者相关联的预过滤通信量可以减少需要解密的数据包数量。此外,消除同时触发安全警报的流量还将帮助安全团队提高效率。
部署这种策略的最快的方法是在防火墙的前端安装一个称为威胁智能网关的专用硬件设备。该设备旨在快速和大规模地防止恶意通信,包括来自未经认证国家的信息,并通过集成的威胁情报源不断更新自己。在安装之后,网关将不需要人工干预,也不需要创建或维护相应的过滤器。恶意通信量或者立即丢弃,或者发送到沙箱以进一步分析。根据您的行业和恶意攻击的频率,可以将安全警报减少80%。
此外,我们可以在防火墙上配置自定义过滤器来阻塞特定的IP地址。不幸的是,防火墙过滤器必须手动配置和维护,并且可以创建的过滤器的数量也有限制。随着网络设备和被攻击的IP地址的爆炸式增长,防火墙的能力被扩展。此外,在诸如防火墙之类的先进设备上进行循环处理不是一种经济、有效的防止通信量的方法,而只是为了进行简单的比较。
策略2:寻求高级解密功能
在从恶意源删除加密的数据包之后,其余的数据需要由解密设备处理。许多安全工具,如下一代防火墙(NGFW)或入侵防御系统(IPS),都具有SSL解密功能。然而,NSS Labs发表的一篇文章警告说,一些安全工具可能不包含最新的密钥,这将导致非标准端口上的SSL通信丢失,并且可能无法根据所请求的吞吐量完成加密,或者甚至在没有任何解密的情况下快速建立某些连接[3]。
加密依赖于一步预防措施。安全解决方案必须支持最新的加密标准,包括各种各样的密钥和算法,并且能够使用更大的2048位和4096位密钥来解密流量,并更新椭圆曲线密钥。随着安全技术的复杂性增加,解决方案必须能够高效和经济地处理解密,即避免丢失分组、导致错误或未能完成全面检查。
随着SSL通信量的增加,为了实现完全的网络可见性,解密解决方案的质量将变得越来越重要。此外,“深度防御”已经成为公认的最佳实践,这通常需要使用许多同类的最佳安全设备(如独立防火墙和IPS)。然而,使这些设备进行一次通信量解密和重新加密将导致低效的安全工具,这不仅会增加网络延迟,而且会降低策略的有效性和端到端的可见性。
策略3:选择简单的工具
另一个关键特性是管理员可以通过简单的操作创建和管理与解密相关的策略。这些优秀的解决方案可以提供拖放用户界面来完成过滤器创建,从而支持选择性数据转发或对基于内容的标识(如身份证或银行卡号)进行数据去敏。这些解决方案还使保存每个使用的SSL密钥的完整记录以及通信期间发生的所有异常(如丢失的会话、SSL故障、无效证书以及由于策略原因不需要解密的会话)变得容易。这些详细的日志对于审计、取证、网络故障排除和容量规划非常有价值。
策略4:规划具有成本效益的可伸缩性
随着加密通信量的增加,解密将对安全基础设施的性能产生更大的影响,因此有必要提前计划。虽然在防火墙中简单地“打开”SSL解密功能或实现集成威胁管理(UTM)解决方案看起来是合理的,但是解密是一个在过程中需要大量处理的功能。由于SSL通信量的增加以及需要更多的解密周期,整体性能将受到影响,并且该工具还可能丢失分组。为了提高多功能设备的流量能力,唯一的选择是扩大总体容量。扩充会带来大量的资金投入,为了保证设备能够承受解密,一些功能也会带来额外的成本。
更好的选择是通过使用具有SSL解密或网络分组传输设备(NPB)的网络可见性解决方案卸载安全工具的SSL。许多企业组织使用网络数据包传输设备来聚集网络流量、识别相关数据包并将它们高速分发到安全工具。硬件加速的网络数据包传输设备能够以零丢包的线速处理业务,实现自动负载平衡。此外,它们不需要各种串行设备来进行它们自己的独立解密/重新加密。扩展网络数据包传输设备的成本低于扩展大多数安全设备的成本,并且可以提供快速的投资回报。
结论
随着越来越多的Internet流量转向加密流量,SSL流量中的攻击将变得更加常见。为了保护数据和网络免受黑客和网络罪犯的侵害,检查所有加密的网络流量势在必行。企业尚未实施严格的加密流量检测系统,将极大地降低网络安全性,并带来不可接受的漏洞和数据丢失风险。幸运的是,旨在提高SSL解密的效率和经济效益的新解决方案正在出现。
蓝盟在上海成立,致力于为企业客户提供IT外包、IT软硬件采购、弱电工程(网络布线、机房建设、门禁考勤、视频监控、电话交换机、多媒体会议室)、系统集成(网络组建、网络改造、WIFI覆盖、数据备份、病毒防护、文件权限、虚拟化等)、云服务(微软云、阿里云、企业邮箱、Office365等)“一站式”IT外包解决方案。www.lanmon.com,www.lanmon.net ,www.linemore.com,www.linemore.net咨询。咨询热线:021-80581919
分享到:
中文
电话咨询
微信咨询
公众号
