暗伏的危机——为何我们需要SSL流量检查

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
云防火墙,500元 1000GB
简介:

数据流量加密是否有利于网络安全?某种程度上来说,的确如此。然而美好的事物往往都是鱼和熊掌不可兼得,为提高安全性而牺牲应用性能是我们需要避免的事情。

大多数企业机构的SSL流量平均已占网络总流量的15%至25%,在垂直细分市场中的此类流量更高。行业规范诸如支付卡行业安全标准(PCI-DSS)以及HIPAA法案均要求各企业在数据传输中对敏感数据进行加密(例如:银行往来数据、商户或医疗行业相关网站等)。重要企业应用程序如Microsoft Exchange、Salesforce.com、Dropbox也针对LinkedIn、Twitter、Facebook等超人气网站启用SSL,以达到隐私保护要求。

加密有利于保护数据,但它同样可以保护潜在的攻击者。复杂的恶意软件以及难以察觉但有很大危害的潜在攻击信息往往隐藏在SSL加密流量中。然而数据流的加密使得IT团队的安全监控、应用监控、安全分析,甚至资源规划变得更加困难,因为他们不得不通过解密与检查所有数据寻找异常情况。

暗伏的危机

SSL加密数据中还可能隐藏着什么?企业需要了解两大风险:有形威胁以及更加微妙的威胁信号。

这种“威胁”通常是指恶意软件,即经过加密处理伪装成良性SSL流量的恶意代码。威胁信号则表明恶意方正在窥探或扫描网络,试图寻找攻击弱点,它们是潜在黑客或网络入侵的明证。识别和应对这两类威胁是IT团队的主要任务之一,然而日益激增的SSL流量使得这些任务耗时更长并且需要特殊的分析工具。

性能是关键

当然,企业的下一代防火墙和应用监测工具可应对这些威胁。防火墙能够解密和扫描SSL数据,并且根据安全策略检查是否存在恶意软件或防止入侵企图。

但是,此类功能也有附加条件。由于IT团队在防火墙上启动了更多功能,如:病毒防护、防僵尸、IPS、URL过滤和应用控制,整套安全工具的计算时间也越来越长,存在安全套件成为瓶颈的风险,因而限制网络发展,或必须对安全套件进行全面升级,以满足必要的性能需求。

企业战略集团(Enterprise Strategy Group)2015的研究1显示,24%的企业网络团队对可能会破坏关键流量或有损业绩的技术表示不太了解。然而,除了正常功能,采用安全网关解密SSL流量的固有处理开销通常会对性能产生显著影响,当业务和数据量都在增长的情况下尤其如此。网络安全检测机构NSS Lab 2013年针对7个下一代防火墙测试2的调查发现,在使用基本512B和1024B密码时,该设备的平均性能损失高达74%。

状态检测

所以我们如何才能消除因加密或增加可视性而产生的安全盲点?又是如何在无损整体网络性能的前提下洞察隐蔽流量中潜伏的危机?首先,企业必须全面且清晰地访问其物理、虚拟和混合云环境下的所有流量。为此,通常需要使用全状态SSL解密,拓展安全团队探察业务和网络应用程序加密流量的能力,以发现隐藏的异常,如:网络侦察、入侵或恶意软件。

全状态SSL解密可提供完整的会话信息,帮助IT团队更好地理解处理全进程和可能发动的攻击,这与单纯提供原始数据包的无状态解密截然不同。

其次,全状态SSL解密应在专用平台上完成,如:网络数据包中转(network packet broker),以便卸载来自防火墙、安全网关和应用程序监视工具的额外处理负担。通过减少工作负载,使其更好地识别并有针对性地应对攻击,这有助于最大限度地发挥防病毒、沙箱和IPS等工具及其运行应用程序的性能和容量。将网络数据包代理程序植入精心搭建的架构旁路框架可实现网络可用性和可靠性最大化。这将充分释放安全性和网络架构的潜力,同时为IT和安全团队提供所有加密和未加密网络流量的全面可视性。

SSL加密在打击非法信息窃取和黑客攻击,保护敏感数据,帮助企业达到合规性要求方面起着至关重要的作用。但它同时也可能隐瞒安全威胁,限制网络团队检查、调整和优化应用性能的能力。企业为客户的流量保驾护航非常重要,然而消除加密盲点并获得洞察网络和关键任务应用程序的全面可视性也同样不容忽视,部署合适架构则是实现一石二鸟的良方。

原文发布时间为:2016-04-13

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。


相关文章
|
3月前
|
安全 网络安全 Windows
【Azure App Service】遇见az命令访问HTTPS App Service 时遇见SSL证书问题,暂时跳过证书检查的办法
【Azure App Service】遇见az命令访问HTTPS App Service 时遇见SSL证书问题,暂时跳过证书检查的办法
【Azure App Service】遇见az命令访问HTTPS App Service 时遇见SSL证书问题,暂时跳过证书检查的办法
|
5月前
|
安全 网络安全 Windows
【Azure App Service】遇见az命令访问HTTPS App Service 时遇见SSL证书问题,暂时跳过证书检查的办法
在访问App Service的KUDU工具或使用`az webapp deploy`时遇到SSL错误:`SSL: CERTIFICATE_VERIFY_FAILED`。解决方法是临时禁用Azure CLI的SSL验证。在PowerShell中,设置`$env:ADAL_PYTHON_SSL_NO_VERIFY`和`$env:AZURE_CLI_DISABLE_CONNECTION_VERIFICATION`为1;在Windows命令提示符中,使用`set AZURE_CLI_DISABLE_CONNECTION_VERIFICATION=1`。注意,这可能引入安全风险,应仅在必要时使用。
110 9
|
安全 数据建模 网络安全
为什么SSL检查对组织防御如此重要?
网络安全需要多种措施确保所有数据受到安全防护,提高防护意识很重要!
1819 0
为什么SSL检查对组织防御如此重要?
|
安全 网络协议 Linux
Nodecache评测 免备案高防CDN 全球加速 亚太加速 支持SSL 注册送1TB流量
Nodecache是GlobalCache Technology Co., Ltd.旗下品牌,主要提供的就是 免备案CDN加速、SSL证书、DNS、WAF、云服务器以及安全防护等。支持全球加速、亚太节点(主要是香港地区节点)、中国直连和欧美加速节点。
2956 0
|
网络安全
如何检查网站 https SSL 的状态
可以通过网站直接检查。 比如下面的这个网站就能够查看 SSL 的状态, https://myssl.com 检查的结果有可能是下图: https://www.
1455 0
|
安全 网络安全 数据安全/隐私保护
|
8天前
|
负载均衡 算法 网络安全
阿里云WoSign SSL证书申请指南_沃通SSL技术文档
阿里云平台WoSign品牌SSL证书是由阿里云合作伙伴沃通CA提供,上线阿里云平台以来,成为阿里云平台热销的国产品牌证书产品,用户在阿里云平台https://www.aliyun.com/product/cas 可直接下单购买WoSign SSL证书,快捷部署到阿里云产品中。
1850 6
阿里云WoSign SSL证书申请指南_沃通SSL技术文档
|
10天前
|
算法 小程序 网络安全
阿里云WoSign SSL证书,RSA和国密有什么区别?_沃通SSL技术文档
阿里云WoSign品牌SSL证书为用户提供国密合规SM2算法SSL证书、全球信任RSA算法SSL证书,全球信任、国密合规,能够满足阿里云平台用户不同的SSL证书应用需求。那么阿里云WoSign SSL证书分别提供的RSA算法和国密算法,有什么区别呢?
561 6