Kas yra SSL/TLS iššifravimas?
SSL iššifravimas, dar žinomas kaip SSL/TLS iššifravimas, reiškia SSL (SSL) arba TLS (TLS) šifruoto tinklo srauto perėmimo ir iššifravimo procesą. SSL/TLS yra plačiai naudojamas šifravimo protokolas, apsaugantis duomenų perdavimą kompiuterių tinklais, pvz., internetu.
SSL iššifravimą paprastai atlieka saugos įrenginiai, tokie kaip užkardos, įsilaužimų prevencijos sistemos (IPS) arba specialūs SSL iššifravimo įrenginiai. Šie įrenginiai yra strategiškai išdėstyti tinkle, kad saugumo tikslais tikrintų užšifruotą srautą. Pagrindinis tikslas yra analizuoti užšifruotus duomenis, siekiant nustatyti galimas grėsmes, kenkėjiškas programas ar neteisėtą veiklą.
Norėdamas atlikti SSL iššifravimą, saugos įrenginys veikia kaip tarpininkas tarp kliento (pvz., žiniatinklio naršyklės) ir serverio. Kai klientas užmezga SSL/TLS ryšį su serveriu, saugos įrenginys perima užšifruotą srautą ir užmezga du atskirus SSL/TLS ryšius – vieną su klientu, o kitą su serveriu.
Tada saugos įrenginys iššifruoja srautą iš kliento, patikrina iššifruotą turinį ir taiko saugos strategijas, kad nustatytų bet kokią kenkėjišką ar įtartiną veiklą. Jis taip pat gali atlikti tokias užduotis kaip duomenų praradimo prevencija, turinio filtravimas arba kenkėjiškų programų aptikimas iššifruotuose duomenyse. Išanalizavus srautą, saugos įrenginys jį iš naujo užšifruoja naudodamas naują SSL/TLS sertifikatą ir persiunčia į serverį.
Svarbu atkreipti dėmesį, kad SSL iššifravimas kelia susirūpinimą dėl privatumo ir saugumo. Kadangi saugos įrenginys turi prieigą prie iššifruotų duomenų, jis gali peržiūrėti neskelbtiną informaciją, pvz., vartotojo vardus, slaptažodžius, kredito kortelių duomenis ar kitus konfidencialius duomenis, perduodamus tinklu. Todėl SSL iššifravimas paprastai įgyvendinamas kontroliuojamoje ir saugioje aplinkoje, siekiant užtikrinti perimtų duomenų privatumą ir vientisumą.
SSL iššifravimas turi tris įprastus režimus:
- Pasyvus režimas
- Įeinantis režimas
- Išvykimo režimas
Tačiau kuo skiriasi trys SSL iššifravimo režimai?
| Režimas | Pasyvus režimas | Įeinantis režimas | Išsiuntimo režimas |
| Aprašymas | Tiesiog persiunčia SSL/TLS srautą be iššifravimo ar modifikavimo. | Iššifruoja kliento užklausas, analizuoja ir taiko saugumo politikas, tada persiunčia užklausas serveriui. | Iššifruoja serverio atsakymus, analizuoja ir taiko saugumo politikas, tada persiunčia atsakymus klientui. |
| Eismo srautas | Dvikryptis | Klientas serveriui | Serveris klientui |
| Įrenginio vaidmuo | Stebėtojas | Žmogus viduryje | Žmogus viduryje |
| Iššifravimo vieta | Nėra iššifravimo | Iššifruoja tinklo perimetre (dažniausiai priešais serverį). | Iššifruoja tinklo perimetre (dažniausiai priešais klientą). |
| Eismo matomumas | Tik užšifruotas srautas | Iššifruotos kliento užklausos | Iššifruoti serverio atsakymai |
| Eismo modifikavimas | Be modifikacijų | Gali modifikuoti srautą analizės arba saugumo tikslais. | Gali modifikuoti srautą analizės arba saugumo tikslais. |
| SSL sertifikatas | Nereikia privataus rakto ar sertifikato | Reikalingas privatus raktas ir sertifikatas serveriui, kuris yra perimamas | Reikalingas perimamo kliento privatusis raktas ir sertifikatas |
| Apsaugos kontrolė | Ribota kontrolė, nes negalima tikrinti ar modifikuoti užšifruoto srauto | Gali patikrinti ir pritaikyti saugumo politikas klientų užklausoms prieš pasiekiant serverį | Gali patikrinti ir pritaikyti saugumo politikas serverio atsakymams prieš pasiekiant klientą |
| Privatumo problemos | Nesiekia ir neanalizuoja užšifruotų duomenų | Turi prieigą prie iššifruotų klientų užklausų, todėl kyla susirūpinimas dėl privatumo | Turi prieigą prie iššifruotų serverio atsakymų, todėl kyla susirūpinimas dėl privatumo |
| Atitikties aspektai | Minimalus poveikis privatumui ir atitikčiai | Gali reikėti laikytis duomenų privatumo taisyklių | Gali reikėti laikytis duomenų privatumo taisyklių |
Palyginti su saugaus pristatymo platformos serijiniu iššifravimu, tradicinė serijinio iššifravimo technologija turi apribojimų.
Ugniasienės ir tinklo saugumo šliuzai, kurie iššifruoja SSL/TLS srautą, dažnai nesiunčia iššifruoto srauto kitoms stebėjimo ir saugumo priemonėms. Panašiai apkrovos balansavimas pašalina SSL/TLS srautą ir idealiai paskirsto apkrovą tarp serverių, tačiau nepaskirsto srauto kelioms grandinės saugumo priemonėms prieš jį iš naujo užšifruojant. Galiausiai, šiems sprendimams trūksta srauto atrankos kontrolės ir jie paskirsto neužšifruotą srautą laidiniu greičiu, paprastai visą srautą siųsdami iššifravimo varikliui, o tai sukelia našumo problemų.
Naudodami „Mylinking™“ SSL iššifravimą galite išspręsti šias problemas:
1. Patobulinti esamas saugumo priemones centralizuojant ir sumažinant SSL iššifravimo ir pakartotinio šifravimo poreikį;
2. Atskleisti paslėptas grėsmes, duomenų nutekėjimus ir kenkėjiškas programas;
3. Laikytis duomenų privatumo reikalavimų, taikant politika pagrįstus selektyvius iššifravimo metodus;
4 – Paslaugų grandinėje sujungiamos kelios srauto žvalgybos programos, pvz., paketų pjaustymas, maskavimas, deduplikacija ir adaptyvus seanso filtravimas ir kt.
5. Įtaikykite savo tinklo našumą ir atlikite atitinkamus pakeitimus, kad užtikrintumėte pusiausvyrą tarp saugumo ir našumo.
Tai yra keletas pagrindinių SSL iššifravimo taikymo būdų tinklo paketų tarpininkuose. Iššifruodami SSL/TLS srautą, NPB pagerina saugumo ir stebėjimo įrankių matomumą ir efektyvumą, užtikrindami išsamią tinklo apsaugą ir našumo stebėjimo galimybes. SSL iššifravimas tinklo paketų tarpininkuose (NPB) apima prieigą prie užšifruoto srauto ir jo iššifravimą patikrinimui ir analizei. Iššifruoto srauto privatumo ir saugumo užtikrinimas yra nepaprastai svarbus. Svarbu pažymėti, kad organizacijos, diegiančios SSL iššifravimą NPB, turėtų turėti aiškią politiką ir procedūras, reglamentuojančias iššifruoto srauto naudojimą, įskaitant prieigos kontrolę, duomenų tvarkymą ir saugojimo politiką. Atitiktis taikomiems teisiniams ir norminiams reikalavimams yra būtina siekiant užtikrinti iššifruoto srauto privatumą ir saugumą.
Įrašo laikas: 2023 m. rugsėjo 4 d.
