رمزگذاری و امنیت با SSL/TLS Orchestration
طبق تحقیقاتی که توسط تیم F5 Labs روی میلیونها وبسایت انجام شده، ۸۰ درصد از آنها رمزگذاری شدهاند. امنیت لایه انتقال (TLS) به واسطه چندین عامل به یک هنجار برای سازمانها در هر اندازه و در همه صنایع تبدیل شده است. برخی از این عوامل شامل مقررات حفاظت از داده عمومی اتحادیه اروپا (GDPR)، اولویتهای رتبهبندی نتایج جستجوی گوگل، هشدارهای مرورگر برای سایتهای HTTP و اهمیت فزاینده حفظ حریم خصوصی میشوند.
با اینکه تکامل در این زمینه، امنیت ترافیک وب را بهبود میبخشد، اما هزینهای در پی دارد؛ افزایش بار کاری و خطرات و بدافزارهای پنهانشده در ترافیک رمزگذاریشده. این دو مورد، سازمانها را بهسمت پیادهسازی یک راهحل کارآمد سوق میدهند. SSL/TLS Orchestration راهحلی است که به زیرساختها اجازه میدهد سرعت و دسترسیپذیری بالا را فراهم کنند و در عین حال، تضمینکننده امنیت و حافظ حریم خصوصی کاربران باشند.
اهمیت دید کافی برای حفظ امنیت
رمزگذاری ترافیک برای جلوگیری از حملات Man-in-the-Middle که بهطور بالقوه میتواند به مهاجمان اجازه مشاهده و حتی تغییر دادهها را بدهد، عالی است. با این حال، رمزگذاری میتواند باعث شود ترافیک مورد نظر برای دستگاهها و سرویسهای بازرسی یا تحلیلی قابل مشاهده نباشد. رمزگذاری و رمزگشایی ترافیک، انرژی محاسباتی زیادی لازم دارد. بنابراین بسیاری از راهحلهای بازرسی امنیتی مانند سیستم تشخیص نفوذ و پیشگیری (IDS/IPS)، Malware Sandbox، فایروال نسل بعدی (NGFW) و سایر راه حلها یا بهطور کلی دادهها را رمزگشایی نمیکنند، یا بهواسطه حجم بالای دادههای دریافتی، ترافیک رمزگذاریشده را نادیده میگیرند. برای داشتن دید کافی که برای رسیدن به این هدف لازم است، چه در مورد ترافیک ورودی به برنامه و چه ترافیک داخلی که از اینترنت خارج میشود، به تمام سرمایهگذاریهای زیرساختی نیاز خواهید داشت.
چالشهای بازرسی ترافیک خروجی
خطرناک بودن بدافزارها بر کسی پوشیده نیست و برای شناسایی و جلوگیری از انتشار آن به سایر کاربران و دستگاهها، به سیستم دفاع لایهای نیاز است. بدافزار میتواند از چندین منبع مختلف، مثل وبسایتهای مخرب یا ایمیلهای فیشینگ وارد سیستم شود. بنابراین بررسی ترافیک خروجی شبکه، برای اطمینان از عدم خروج هیچ داده حساسی از محیط کنترلشده، اهمیت بسیار بالایی دارد. این بررسی زمانی به چالش تبدیل میشود که در حال حاضر تقریبا همه مهاجمان از کانالهای رمزگذاریشده برای پنهان کردن ارتباط بدافزارشان با سرورهای command-and-control استفاده میکنند.
چالشهای بازرسی ترافیک ورودی
نباید فراموش کرد که مشکلاتی هم در زمینه بازرسی ترافیک ورودی وجود دارد؛ طبق گزارش F5 Labs 2018 Application Protection Report، اغلب یک برنامه یا وبسایت خاص برای کسبوکار یک سازمان اهمیت بیشتری دارد. ۳۴ درصد از برنامههای تحت وب ابزار حیاتی کسبوکار مربوطه هستند و هنگامی که برنامهای ضروری باشد، لازم است حتما از راهحلهای امنیتی مانند فایروال برنامه وب (WAF) یا IDS/IPS برای فیلتر کردن ترافیک مخرب بهرهمند باشد. همه این راه حلها ارزشهای منحصر به فردی را بههمراه دارند، اما رمزگشایی بخشی از این ارزشها نیست.
مزایای دید
تحلیلگران امنیتی تخمین میزنند که امروزه همه بدافزارها برای مخفی کردن ردپای خود از دستگاههای امنیتی طراحیشده برای شناسایی و خنثی کردنشان، از رمزگذاری استفاده میکنند. بسیاری از مدیران هنگام اجرای یک استراتژی دفاعی عمیق، مجموعهای از راهحلهای امنیتی را برای دفاع در برابر بدافزارها به کار میبرند. این کار فوقالعاده ناکارآمد است و همچنین مسیری را برای ورود ترافیک مخرب فراهم میکند. درست است که شما به دید و امنیت نیاز دارید، اما نباید عملکرد را فدای آن کنید.
خنثی کردن بدافزار
راه حل SSL/TLS که برای رمزگشایی ترافیک و ارسال آن به دستگاههای بازرسی استفاده میشود، روش خوبی هم برای کاهش اثرات ایجاد شده توسط بدافزار است. با این حال، در شرایطی که بخش خاصی از ترافیک نیازی به عبور از دستگاههای بازرسی نداشته باشد، ممکن است باعث ایجاد تاخیر شود. به عنوان مثال، اگر ترافیک خروجی کاربر به یک سایت یا آدرس IP امن برود و راهحل Data loss prevention (DLP) هم مورد حساسی را تشخیص ندهد، آیا ترافیک همچنان باید از مسیر NGFW یا IDS عبور کند؟ شاید چنین اقدامی لازم باشد، اما ضروری است که توانایی سفارشی کردن مسیر ترافیک را با توجه به میزان تحمل ریسک داشته باشید.
مقاله پیشنهادی“Veritas NetBackup چیست؟”
حفظ امنیت و چابکی رمزگذاری
پروتکل TLS دارای اقدام متقابلی به نام Perfect Forward Secrecy است که بهمنظور داشتن نظارت Passive استفاده میشود. هدف آن افزودن یک تبادل اضافی به پروتکل ایجاد کلیدی است که بین دو طرف اتصال رمزگذاریشده قرار دارد. با ایجاد یک کلید منحصر به فرد برای هر Session که توسط کاربر آغاز میشود، PFS تضمین میکند که مهاجم نمیتواند به سادگی یک کلید را بازیابی و تمام مکالمات ثبت شده قبلی را رمزگشایی کند.
از آنجایی که PFS تنها روش مجاز در TLS 1.3 است، به یک استاندارد تبدیل شده و باید برنامهریزی دقیقی برای هر راهحل بازرسی Passive ترافیک ورودی داشته باشید. پیش از این در روش RSA، کلید با هر یک از راهحلها به اشتراک گذاشته میشد. با این حال، این امکان وجود ندارد که PFS یک کلید منحصر به فرد برای هر Session ایجاد کند.F5 SSL Orchestrator میتواند ترافیک را رمزگشایی و به راهحلهای بازرسی ارسال کند، یا میتواند با استفاده از TLS 1.2 آنها را با RSA رمزگشایی و رمزگذاری مجدد کند. راهحل دوم، وظیفه رمزگشایی دستگاههای بازرسی را به عهده میگیرد، اما نیازی نیست که با ترافیک همخوانی داشته باشند. بنابراین تاخیر افزایش پیدا نمیکند و همچنین انتقال دادههای رمزگذارینشده در Data center وجود نخواهد داشت.
هنوز هیچ آسیبپذیری خاصی در رمزگذاریهایی که هنگام پیادهسازی PFS انجام میشوند، یافت نشده است؛ اما همه میدانیم که هر آنچه که امروز ایمن است، همیشه ایمن باقی نخواهد ماند. تحقیقات امنیتی و ابزارهای هک، همانطور که قدرت محاسباتی پیش میرود، به پیشرفت خود ادامه میدهند و این باعث میشود که ناگزیر باعث کشف آسیبپذیری شود.
جمعبندی
وجود دید کافی روی بستههایی که وارد برنامهها شده یا از شبکه خارج میشوند، بدون شک یک امتیاز عالی است، اما این تنها قدم اول است. F5 SSL Orchestrator دید را در مقیاس بزرگ ارائه میدهد، اما خود را از بسته Orchestrator متمایز میکند. SSL Orchestration هدایت ترافیک مبتنی بر سیاست را ارائه میدهد و از طریق پراکسی کامل برای SSL/TLS و HTTP، میتواند تصمیمات هوشمندانهای اتخاذ کند تا ترافیک ورودی و خروجی را به زنجیرههای سرویس در پشته امنیتی هدایت کند. در حالی که بخش اعظم ترافیکها HTTPS است، SSL Orchestrator امکان رمزگشایی و رمزگذاری مجدد با انواع دیگر ترافیک مثل STARTTLS در FTP، IMAP، POP3 و ICAP را فراهم میکند تا مدیریت هوشمندانهای داشته باشید. هیچ محصول دیگری نمیتواند همه این کارها را انجام دهد و به همین دلیل است که هیچ راهحل SSL/TLS دیگری محافظت جامعتری برای برنامهها و شبکه شما ارائه نمیدهد.
