加密能保護網(wǎng)絡(luò)流量免遭黑客與網(wǎng)絡(luò)罪犯侵害，卻阻止了安全及監(jiān)測工具探知網(wǎng)絡(luò)中傳遞的數(shù)據(jù)包的內(nèi)部情況。事實上，許多企業(yè)機構(gòu)都未對加密流量進行全面檢查就任其流經(jīng)自己的網(wǎng)絡(luò)，黑客往往會利用加密來隱藏惡意軟件并發(fā)起攻擊，從而劫持用戶網(wǎng)絡(luò)。為了保持強健的防御能力以及降低安全漏洞和數(shù)據(jù)丟失的風(fēng)險，我們必須對所有的網(wǎng)絡(luò)流量進行解密、檢查并再重新加密這一過程。

解密帶來的負擔(dān)

解密設(shè)備必須保證功能強大。為了抵御數(shù)據(jù)劫持，加密算法也日益變得越來越長而且逾加復(fù)雜。多年前，NSS實驗室進行的測試表明，密碼從1024位變?yōu)?048位后，8款領(lǐng)先的防火墻平均性能下降81%。事實上，針對SSL的解密無需在防火墻處完成。而現(xiàn)在，一些新策略已支持offload解密工作，并向工具發(fā)送明文，從而讓其高效工作并處理更多流量。以下四項策略可讓解密變得更加輕松、快速且經(jīng)濟高效。

[[202629]]

策略一：在解密前移除惡意流量

曾用于網(wǎng)絡(luò)攻擊的許多IP地址會被重新使用，并被公布于安全社區(qū)內(nèi)。相關(guān)專門組織每天都會跟蹤并確認已知的網(wǎng)絡(luò)威脅，并將此類信息保存在情報數(shù)據(jù)庫內(nèi)。通過該數(shù)據(jù)庫對流入及流出的數(shù)據(jù)包進行比對，我們可以辨別出惡意流量并從網(wǎng)絡(luò)中對其加以阻止。由于對比是通過明文格式的包頭完成的，該策略無需對數(shù)據(jù)包進行解密。提前將與已知攻擊者相關(guān)的流量過濾掉可以減少需要解密的數(shù)據(jù)包數(shù)量。此外，對這部分同時將會引發(fā)安全警報的流量進行剔除也有助于安全團隊提高效率。

部署此項策略的最快方法是在防火墻前端安裝被稱之為威脅情報網(wǎng)關(guān)的專用硬件設(shè)備。該設(shè)備旨在快速、大量地阻止惡意流量，包括來自未經(jīng)驗證國家的信息，并通過綜合威脅情報源對其自身進行不間斷的更新。安裝后，該網(wǎng)關(guān)將無需人工干預(yù)，也無需創(chuàng)建或維護相應(yīng)的過濾器。惡意流量要么被立即丟棄，要么被發(fā)送至沙箱接受進一步的分析。根據(jù)您所處的行業(yè)以及被惡意攻擊的頻率，您可以因此減少最高可達到80%的安全警報。

另外，我們也可以在防火墻上配置自定義的過濾器以阻止特定IP地址。但遺憾的是，防火墻過濾器必須手動配置與維護，并且在能創(chuàng)建的過濾器數(shù)量方面也存在限制。隨著聯(lián)網(wǎng)設(shè)備與遭受攻擊IP地址的爆炸性增長令防火墻能力捉襟見肘。此外，在防火墻一類高級設(shè)備上進行循環(huán)處理只為完成簡單對比的操作，并不是阻止流量的經(jīng)濟高效方式。

策略二：尋求高級解密功能

對來往于惡意源頭的加密數(shù)據(jù)包進行移除之后，余下的部分數(shù)據(jù)亦需要由解密設(shè)備加以處理。許多安全工具，例如下一代防火墻(NGFW)或入侵防御系統(tǒng)(IPS)，均具有SSL解密功能。但是，NSS實驗室發(fā)布的一篇文章警告稱，某些安全工具可能未包含最新密鑰，從而將導(dǎo)致在非標準端口上發(fā)生的SSL通信丟失，還有可能無法按照所宣稱的吞吐率完成加密、甚至?xí)谕耆磳嵤┙饷艿那闆r下快速建立某些連接。

密碼學(xué)依賴于先人一步的預(yù)防措施。安全解決方案必須支持最新加密標準，結(jié)合各式各樣的密鑰與算法，并擁有使用更大2048位與4096位密鑰以及更新Elliptic Curve密鑰解密流量的能力。隨著安全技術(shù)復(fù)雜度攀升，解決方案必須能夠有效且經(jīng)濟高效地處理解密——即避免丟包、引發(fā)錯誤或者未能完成全面檢查。

隨著SSL流量數(shù)量的增加，為了實現(xiàn)完全的網(wǎng)絡(luò)可視性，解密解決方案的質(zhì)量將日漸重要。此外，“縱深防御”也成為公認的最佳實踐，其通常需要使用多項同類最佳的安全設(shè)備(如：獨立防火墻與IPS)。而讓這些設(shè)備全部經(jīng)歷一遍流量解密與再加密將會導(dǎo)致安全工具效率低下，不僅會增加網(wǎng)絡(luò)延遲，同時還會降低策略效力以及端到端的可視性。

策略三：選擇操作簡單的工具

另一項關(guān)鍵特性是管理員可以通過簡單操作來創(chuàng)建并管理解密相關(guān)策略。那些杰出的解決方案可以提供基于拖放式的用戶操作界面來完成過濾器的創(chuàng)建，從而有能力實現(xiàn)選擇性的數(shù)據(jù)轉(zhuǎn)發(fā)或者針對基于內(nèi)容識別的數(shù)據(jù)脫敏，例如身份證，或銀行卡號。這些解決方案還可以很容易為每個被使用的SSL密鑰以及通信過程中產(chǎn)生的所有異常(如丟失的會話、SSL故障、無效證書以及出于策略原因而無需解密的會話)保存完整記錄。對于審計、取證、網(wǎng)絡(luò)故障排除以及容量規(guī)劃而言，這些詳細的日志都非常寶貴。

策略四：規(guī)劃經(jīng)濟高效的可擴展性

隨著加密流量數(shù)量的增加，解密將對安全基礎(chǔ)架構(gòu)的性能帶來更大的影響，因此提前規(guī)劃十分必要。雖然簡單地“開啟”防火墻中的SSL解密功能，或一體化威脅管理(UTM)解決方案似乎合情合理，但解密是一項需要在過程中進行大量處理的功能。由于SSL流量增加以及解密需要的更多周期，整體性能將會受到影響，工具同時也可能出現(xiàn)丟包。為了增強多功能設(shè)備中流量的流動能力，唯一的選項就是擴大整體容量。擴容會帶來大量資本支出，同時為了確保設(shè)備能夠承擔(dān)解密，某些功能還將產(chǎn)生額外成本。

更好的一個選項是通過采用具有SSL解密功能的網(wǎng)絡(luò)可視性解決方案或網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備(NPB)來實現(xiàn)SSL解密從而實現(xiàn)針對安全工具的SSL卸載。許多企業(yè)機構(gòu)利用網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備匯聚網(wǎng)絡(luò)流量、識別相關(guān)數(shù)據(jù)包并將其高速分發(fā)給安全工具。使用硬件加速的網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備可以在零丟包的情況下以線速處理流量，并實現(xiàn)自動化負載均衡。另外，它們無需多種串聯(lián)設(shè)備來進行各自獨立的解密/再加密。擴展網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備的成本低于擴展大部分安全設(shè)備的成本，并可以提供快速的投資回報。

結(jié)論

隨著更多的互聯(lián)網(wǎng)轉(zhuǎn)向加密流量，SSL流量內(nèi)的攻擊將變得更加普遍。為了保護數(shù)據(jù)與網(wǎng)絡(luò)免遭黑客與網(wǎng)絡(luò)罪犯侵害，檢查所有加密的網(wǎng)絡(luò)流量勢在必行。尚未實施嚴格加密流量檢查制度的企業(yè)將令網(wǎng)絡(luò)安全性大打折扣，并帶來因漏洞與數(shù)據(jù)丟失引發(fā)的難以承受的風(fēng)險。但幸運的是，以提高SSL解密效率與經(jīng)濟效益為目標的新型解決方案正不斷涌現(xiàn)。