阻止惡意SSL通訊六要點
SSL的使用每年都在穩定增長。將來會有越來越多的網際網路通訊都會被加密。不幸的是,不僅注重安全的公司和使用者在利用加密,黑客們也在使用加密來隱藏其惡意企圖。雖然有很多防火牆和威脅預防方案能夠解密SSL通訊,卻不能跟上不斷演變的解密需求。如果黑客進入企業網路,遭受攻擊的企業就會面臨故障和宕機、收入降低、客戶丟失、智慧財產權失竊等,還要花費高昂的成本來修復損害和對聲譽的破壞。
嚴酷的事實是,如果不部署SSL的檢查,企業就面臨被攻擊的風險。黑客可以隱藏在加密通訊中,並滲透到企業網路,安裝惡意軟體,並從多個終端竊取資料。對付惡意的加密通訊的最佳防禦是滿足一定要求的SSL檢查平臺。需要注意的是,在SSL檢查合作伙伴時,企業尤其需要關注效能、合規、可用性、安全性。
有效的SSL檢查平臺應當做到:
1.滿足SSL的效能要求
在企業的任何新方案中,效能都是至關重要的,但是隨著企業的負載日漸增長,效能的重要性尤其突出。為確保SSL的效能檢查滿足目前和未來的需要,企業需要做到如下方面:
用2048位和4096位的SSL金鑰來測試SSL檢查的速度;
用Diffie-Hellman金鑰交換演算法和ECC來評估通訊;
確保平臺能夠處理吞吐量需求,並有額外的能力可以應對峰值通訊。
2.滿足合規要求
企業面臨著滿足多種合規標準的任務。合規意味著很多企業(例如金融和健康醫療領域)必須過濾敏感通訊。為了確保在檢查SSL通訊時保持合規,IT安全團隊應當關注能夠做到如下兩方面的平臺:首先是對Web通訊進行分類,要確保機密資料(如傳輸到健康和金融網站的通訊)的加密;其次是支援自動更新以及人工定義的URL過濾清單。
3.支援複雜的部署要求
為全面解決所有安全問題,多數企業都部署了來自多個廠商的多種安全裝置。SSL檢查平臺應當能夠解密所有這些裝置的通訊。為此,企業必須:解密傳送到網際網路的通訊以及進入公司伺服器的通訊;智慧地將通訊轉發到多個安全裝置;整合領先廠商的多種安全解決方案。
4.使安全基礎設施的正常執行時間和功能達到最大化
安全基礎設施必須正常執行,並且完全可用,從而阻止網路攻擊和防止資料洩露。如果安全基礎設施無法正常執行,就無法檢測到威脅,導致惡性攻擊、收入減少、品牌損失。有效的SSL檢查平臺應當使已有的安全基礎設施的正常執行時間最大化。企業應關注能夠具備如下特性的平臺:
擴增安全部署實現負載均衡;
檢測和繞過失效的安全裝置,避免網路失效;
支援高階監視,快速確認網路或應用程式的錯誤。
5.安全地管理SSL證書和金鑰
SSL證書和金鑰形成了加密通訊的信任基礎。如果SSL證書和金鑰遭受破壞,攻擊者就可以用來竊取資料。SSL檢查平臺能夠分析出站和入站的SSL通訊,必須能夠安全地管理大量的SSL證書和金鑰。有效的SSL檢查平臺應當:保護儲存在SSL檢查平臺上的SSL金鑰,並於能夠發現和控制證書的第三方SSL證書管理方案實現整合;
6.解密所有符合標準的加密通訊
不僅加密通訊量在不斷增長,企業和攻擊者所使用的加密複雜程度也在提升。企業可以使用4096位的SSL金鑰、ECC(橢圓曲線密碼)、PFS(完全前向保密)及其它技術來防禦竊取者。為此,SSL的檢查平臺必須:支援4096位的SSL金鑰長度和高階SSL和TLS加密;解密所有資料,包括SSL的轉發;如果通訊無法被解密,就通知使用者。
結語: 企業對付惡意的加密通訊的最佳防禦是,確保已經部署了滿足上述六個關鍵標準的SSL檢查平臺。依靠不滿足這些要求的系統可能會開啟企業部署缺陷的大門,並給企業帶來威脅。