隨著SSL/TLS技術(shù)的發(fā)展,越來越多的系統(tǒng)應(yīng)用,以加密技術(shù)保障自身的持續(xù)穩(wěn)定運行,以及應(yīng)用數(shù)據(jù)的安全性。
注:SSL/TLS是一種密碼通信框架,是世界上使用最廣泛的密碼通信方法。
但加密流量同時也引發(fā)了安全威脅的加劇,權(quán)威測評機構(gòu)ESG實驗室的調(diào)研報告顯示,超過95%的企業(yè)明確表示遭遇過由加密流量引起的安全事件。這是因為安全設(shè)備無法監(jiān)測加密流量內(nèi)容,無法區(qū)分加密流量中是否包含惡意流量。
無論傳統(tǒng)安全解決方案選擇解密審計還是不解密,都存在著限制:
解密審計
• 多個安全設(shè)備逐一解密,導致設(shè)備性能驟降。
• 多個安全設(shè)備逐一解密,導致網(wǎng)絡(luò)傳輸時延增加。
不解密
• 安全設(shè)備不支持解密,安全監(jiān)測存在盲點。
• 基于性能考慮不解密,安全監(jiān)測存在盲點。
解決方案
針對加密流量的安全防護難題,安博通推出了“天樞”安全服務(wù)鏈控制器,融合自研多年的虛擬化技術(shù)及安全能力,將物理和虛擬設(shè)備,底層抽象為安全資源池中的“資源”,頂層通過軟件編程方式進行統(tǒng)一管理、應(yīng)用編排與流量調(diào)度。將分散的安全能力按需調(diào)配、串聯(lián)成鏈,從而實現(xiàn)靈活的安全防護。
加密流量防護流程
1、網(wǎng)絡(luò)設(shè)備與安全設(shè)備解耦,安全能力通過“天樞”鏈接到網(wǎng)絡(luò)。
2、將SSL證書導入“天樞”的SSL解密網(wǎng)關(guān),對加密流量集中解密。
3、按照業(yè)務(wù)類型及安全防護需求,編排相應(yīng)的安全服務(wù)鏈,例如:
a. 將明文流量鏡像至安全分析設(shè)備,包括APT檢測設(shè)備、沙箱等。
b. 將WEB業(yè)務(wù)流量調(diào)度至IPS、WAF等安全設(shè)備,進行安全監(jiān)測。
c. 將數(shù)據(jù)庫業(yè)務(wù)流量調(diào)度至數(shù)據(jù)庫審計、數(shù)據(jù)脫敏等安全設(shè)備,進行安全監(jiān)測。
4、安全設(shè)備將處理完的業(yè)務(wù)流量轉(zhuǎn)發(fā)至“天樞”,“天樞”再將流量加密,轉(zhuǎn)發(fā)至下一跳設(shè)備。
方案價值
安博通“天樞”安全服務(wù)鏈控制器可以實現(xiàn):
• 對加密流量實現(xiàn)流量可視、內(nèi)容可審計、風險可控制,消除安全監(jiān)測和防護的盲點。
• 對架構(gòu)進行解耦,安全設(shè)備的部署與變更 更加靈活,大幅降低網(wǎng)絡(luò)變更對業(yè)務(wù)流量連續(xù)性的影響。
• 加密流量集中卸載,降低各類設(shè)備的性能消耗;減少業(yè)務(wù)流量在網(wǎng)絡(luò)中的傳輸時延,業(yè)務(wù)訪問更快捷。
“天樞”在防護過程中,可做到客戶端、服務(wù)端無感,消除安全監(jiān)控盲區(qū),降低安全設(shè)備性能消耗和傳輸延時。在復雜的加密流量環(huán)境下,保護企業(yè)機構(gòu)的網(wǎng)絡(luò)安全和數(shù)字資產(chǎn)。
