F5的SSL加解密和负载均衡器如何提高安全性?

本文涉及的产品
应用型负载均衡 ALB,每月750个小时 15LCU
密钥管理服务KMS,1000个密钥,100个凭据,1个月
网络型负载均衡 NLB,每月750个小时 15LCU
简介:     在今天,商业的战争演变成了技术的交锋,谁使用更领先的科技,谁就有更光明的未来。大数据,物联网,人工智能和云计算已经成为现在企业的标配。然而,科技越发达,威胁也就越多。随着威胁态势不断演变且加密措施日益普及,对流量进行更严格检查的需求也呈指数级增长。

  
  在今天,商业的战争演变成了技术的交锋,谁使用更领先的科技,谁就有更光明的未来。大数据,物联网,人工智能和云计算已经成为现在企业的标配。然而,科技越发达,威胁也就越多。随着威胁态势不断演变且加密措施日益普及,对流量进行更严格检查的需求也呈指数级增长。安全团队采用多种技术来检测其应用面临的威胁,包括下一代防火墙(NGFW)、Web 应用防火墙(WAF) 及入侵防御系统(IPS),但F5在这方面的防御效果却特别好,那么F5的SSL加解密和负载均衡器如何提高安全性?

  由于之前技术缺乏对加密流量的可视性,因此在检查中需要使用 SSL/ TLS 解密来提供需要的任何价值。在传统基础设施中,必须在检查链的每个控制点重复执行相关解密 和重加密任务。
  001

  再多个控制点执行流量解密

  在连接流的多个控制点进行解密将带来以下问题:

   需要额外的投入以在每台设备上实施 TLS 解密。

   加重每台解密设备的性能负担。

  出现多个故障点,增加连接延迟。

  增加公共证书和密钥对的分发和管理负荷。

  独立扩展每项服务的难度增加。

  许多企业的对策是,在 DMZ 中创建解密区并通过多台设备进行检查,但在静态路径中所有解密流量通常由同一设备链检查。尽管这一策略确实能够提升性能,并降低管理费用,但却可能带来扩展问题。此外,它还可能限制正向加密所需的密码套件的使用,进而削弱环境的加密安全性。最后,该流程效率低下,因为您的安全设备将检查所有内容,而非仅识别和检查可疑流量。设置解密区的同时若不配以增强的智能性和流量编排,对于处理亟待解决的加密流量可视性难题显然帮助不大。值得庆幸的是,我们有更好的方法。

  更多安全的应用交付

  随着 HTTPS 流量激增,解密已经成为支持应用层流量管理决策的必要条件。企业经常利用 BIG-IP 本地流量管理器(LTM)等应用交付控制器(ADC)为应用服务器以外的其他系统提供可视性。由此带来的新挑战是,需要通过同一应用连接为多种第三方检查技术提供可视性。
  002

  SSL Orchestrator 的动态服务链

  去年,F5 SSL Orchestrator 正式发布,推出了针对出站流量动态链接多项检查服务的功能。借助 TMOS 版本 14,SSL Orchestrator 为入站流量添加了相同功能。这一全新入站服务链功能让现有 BIG-IP LTM 成为添加 SSL Orchestrator 的合理位置,可支持当今威胁形势下所需的安全检查。 请考虑这样一种场景,即在将所有解密流量发送到目标应用服务器之前,将其发送至性能监控系统。如果源 IP 地址可疑,则最好发送此解密流量供 IPS 检查,并由性能监控系统进行记录。SSL Orchestrator 能够加强对可疑请求的检查,而无需使用复杂路由或其他网络路径。SSL Orchestrator 的独特服务链功能支持安全运营团队创建一个动态配置,以适应具有多个相关检查路径的许多不同场景。SSL Orchestrator 提供一个易于使用的 GUI 和支持新老应用的工作流。因此,该解决方案能够轻松集成至现有环境或新构建的环境中。此外,您还可以将SSL Orchestrator 配置到独立架构中,以便将重 加密流量发送至另一个路由目标,而非应用服务器池。
  003

  SSL Orchestrator 的独特服务链功能支持安全运营团队创建一个动态配置

  架构考虑因素

  在传输通过解密区中的所有检查设备后,流量将返回到原始 BIG-IP 设备。因此,流量和利用率能够迅速提升。BIG-IP云版本部署将需要使用更大或更多实例。对于 BIG-IP 硬件设备而言,这意味着需要确 保指定的新设备或现有设备具有足够的可用容量。幸运的是,TMOS 中高度优化的 SSL/TLS 堆栈不仅支持高效的解密和重加密,而且在硬件方面,它还具备专用加密处理器的优势。

  总结

  安全与风险控制息息相关,只有提高可视性才能实现有效控制。SSL Orchestrator 支持安全从业人员更深入地了解新流量和现有流量,从而最大限度地提高现有安全投资成效。将 SSL Orchestrator 添加至 BIG-IP 本地流量管理器能够最大限度地减少对现有架构的影响,并将 ADC 用作战略控制点,可帮助您改善安全状况,同时保持业务运营所需的性能标准。

相关实践学习
SLB负载均衡实践
本场景通过使用阿里云负载均衡 SLB 以及对负载均衡 SLB 后端服务器 ECS 的权重进行修改,快速解决服务器响应速度慢的问题
负载均衡入门与产品使用指南
负载均衡(Server Load Balancer)是对多台云服务器进行流量分发的负载均衡服务,可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。 本课程主要介绍负载均衡的相关技术以及阿里云负载均衡产品的使用方法。
相关文章
|
安全 搜索推荐 网络安全
SSL证书如何提升网站的安全性和信任度
SSL证书如何提升网站的安全性和信任度
111 3
|
7月前
|
Kubernetes 负载均衡 应用服务中间件
深入理解 Kubernetes Ingress:路由流量、负载均衡和安全性配置
深入理解 Kubernetes Ingress:路由流量、负载均衡和安全性配置
1323 1
|
5月前
|
负载均衡 监控 Kubernetes
Service Mesh 是一种用于处理服务间通信的基础设施层,它通常与微服务架构一起使用,以提供诸如服务发现、负载均衡、熔断、监控、追踪和安全性等功能。
Service Mesh 是一种用于处理服务间通信的基础设施层,它通常与微服务架构一起使用,以提供诸如服务发现、负载均衡、熔断、监控、追踪和安全性等功能。
|
7月前
|
关系型数据库 网络安全 分布式数据库
如何为PolarDB数据库设置SSL加密以提高链路安全性
如何为PolarDB数据库设置SSL加密以提高链路安全性 为了保障网络安全,提高链路安全性,您可以为PolarDB数据库启用SSL(Secure Sockets Layer)加密,并安装SSL CA证书到相关的应用服务。SSL在传输层对网络连接进行加密,能提升通信数据的安全性和完整性,但可能会增加网络连接响应时间。
182 2
|
负载均衡 关系型数据库 MySQL
群集【LNMP+SSL+nfs+负载均衡及高可用】
群集【LNMP+SSL+nfs+负载均衡及高可用】
107 0
|
负载均衡 网络安全
阿里云负载均衡ssl证书过期更换后,过一段时间又变回原来过期证书的bug的处理办法
阿里云传统负载均衡证书过期后,在负载均衡的监听页面去更换证书,更换后过一段时间证书会变回原来的证书,导致客户端https无法访问。 目前的解决办法是去负载均衡的证书管理,去删除当前过期证书,然后再去负载均衡监听页面配置证书,才不会出现变回原来的证书的问题。
阿里云负载均衡ssl证书过期更换后,过一段时间又变回原来过期证书的bug的处理办法
|
负载均衡 前端开发 网络安全
SSL 数字证书-SLB 证书配置部署|学习笔记
快速学习 SSL 数字证书-SLB 证书配置部署
274 0
|
运维 负载均衡 调度
F5公司的负载均衡解决方案在银行中起什么作用?
  F5公司的负载均衡解决方案在银行中起什么作用?今天我们就来探讨一下这个问题。   我是民生银行的,我所在银行采用负载均衡解决方案实现了同城双活数据中心的业务部署和数据中心之间的业务快速切换,除此之外,在多个数据中心向两个新建数据中心整合的迁移、IP地址改造和日常业务上线的测试、验证、发布及维护过程中也起到了非常大的作用。
3825 0
|
25天前
|
负载均衡 前端开发 应用服务中间件
负载均衡指南:Nginx与HAProxy的配置与优化
负载均衡指南:Nginx与HAProxy的配置与优化
45 3