Blog

Povećajte istovremeno skalabilnost i sigurnost mreže uz uvid u SSL promet

Best practice dizajn gateway mreže se mijenja pod pritiskom zahtjeva sigurnosti: sve veći broj “kutija” koje transparentno obrađuju promet inline ili out-of-band (npr. Fireeye ATP, Checkpoint IPS, network monitoring, itd.), zatim high-availability zahtjevi te potreba za uvidom u SSL kriptirani sadržaj na više tačaka inspekcije istovremeno – sve su to faktori koji opasno narušavaju skalabilnost modernih gateway mreža. Konkretni rezultati ovakvih trendova su dosezanje kapaciteta prometa pojedinih “kutija” na mreži (cpu/memorija), češći ispadi sa utjecajem na poslovanje (više tačaka inspekcije znači i više tačaka ispada, administracije, troubleshootinga, itd.) te iscrpljivanje fizičkih portova na postojećim mrežnim “kutijama”.

Kako vratiti skalabilnost u mrežu, bolje iskoristiti postojeće mrežne “kutije”, izbjeći skupe nadogradnje i povećati raspoloživost usluge, a istovremeno povećati sigurnost uvidom u SSL kriptirani sadržaj? Zvuči kao nemoguća misija? Pročitajte u nastavku što omogućava SSL inspekcija sa Blue Coat-om i Gigamon packet broker tehnologija.

SSL/TLS protokol je ključan za osiguravanje sigurne razmjene informacija u svakodnevnoj poslovnoj komunikaciji, a koliko je rasprostranjen govori i procjena Gartnera koja kaže kako SSL danas čini oko 30% web prometa uz procjenu stope rasta od 20% godišnje. Ovim trendom će kroz dvije godine većina prometa u LAN mrežama biti kriptirana.

SSL protokolom kriptirani promet bez prethodne dekripcije nije vidljiv sigurnosnim i/ili rješenjima za nadzor i analizu mrežnog prometa što onemogućava klasifikaciju prometa u mreži, pa tako nije moguće vidjeti koje aplikacije odnosno protokoli su zastupljeni u mreži. Situacija može postati gora kada napadači u mrežu isporuče malware kriptiran SSL protokolom. Procjena je da oko 50% mrežnih napada prolazi zbog kriptiranog prometa nevidljivog standardnim sigurnosnim rješenjima.

Današnje mreže sastoje se od mnogo sigurnosnih rješenja  (NGFW, IDS, IPS, WAF…), koja sama ne vide kriptirani promet. a ovisno o namjeni su u inline ili out of band načinu rada. Kako bi ispunili svoju svrhu, tim rješenjima treba dovesti nekripitirani promet jer bi zasebna dekripcija prometa za svako od navedenih rješenja bila neučinkovito i definitivno neisplativo rješenje. Obzirom na brojnost sigurnosnih rješenja povezanih u seriju sa svakim alatom smanjuju se performanse, pouzdanost i povećava rizik od prekida mrežne povezanosti uslijed ispada samo jednog od uređaja. Također, u slučaju nadogradnji odnosno redovnog održavanja postojati će prekid u radu usluge, pa se sve radnje oko održavanja sustava moraju planirati u vrijeme najmanje opterećenosti što najčešće znači usred noći, rano ujutro itd.

Problem vidljivosti kriptiranog mrežnog prometa moguće je riješiti korištenjem Blue Coat SSL Visibility Appliance rješenja koje će omogućiti SSL dekripciju/enkripciju, te na taj način rasteretiti ostala sigurnosna rješenja koje neće morati odrađivati i taj posao (decrypt once, feed many), a distribuciju kompletnog mrežnog prometa svim sigurnosnim i mrežnim rješenjima moguće je odraditi packet brokerom kao što je Gigamon.

Blue_Coat_Gigamon

Kako radi prijedlog rješenja:

  1. Kompletni mrežni promet dolazi s klijentske mreže (strana A na slici) i ulazi u Gigamon
  2. Gigamon usmjeruje mrežni promet na Blue Coat SSL Visiblity Appliance koji radi dekripciju SSL prometa
  3. SSL Visibility Appliance dekriptirani promet vraća na Gigamon
  4. Gigamon dekriptirani promet ovisno o zadanim uvjetima šalje na inline i/ili out of band rješenja koja zatim izvršavaju inspekciju prometa. Gigamon ovdje postaje tzv. Visibility Fabric odnosno element koji inteligentno može slati promet na različite potrošače paketa, radi raspodjelu opterećenja, health check provjere, failover, itd.
  5. Sigurnosna rješenja nakon inspekcije prometa vraćaju isti na Gigamon
  6. Gigamon vraća rezultate na SSL Visibility Appliance koji odlučuje može li se sesija uspostaviti ili šalje reset klijentu
  7. Ukoliko se sesija uspostavlja promet se šalje na Gigamon
  8. Gigamon šalje promet na traženu destinaciju tj. SSL server (strana B)

Izdvojene mogućnosti:

  • Gigamon Inline bypass funkcionalnost sprječava ispad  mrežne povezanosti u slučaju ispada nekog od sigurnosnih rješenja
  • Gigamon omogućuje filtriranje dekriptiranog mrežnog prometa kako bi pojedina inline sigurnosna rješenja dobila samo promet namijenjen njima
  • Out-of band sigurnosna i mrežna rješenja uz packet slicing i packet masking funkcionalnosti dobiti će samo onaj mrežni promet koji im je potreban uz sačuvanu maksimalnu privatnost podataka
  • Load balancing funkcionalnost omogućiti će distribuciju mrežnog prometa na više sigurnosnih i mrežnih rješenja u slučaju zahtjeva za većom propusnošću od mrežne propusnosti samog sigurnosnog odnosno mrežnog rješenja.

Ovakvim redizajnom gateway mreže koristeći Gigamon Visibility Fabric dobiva se skalabilnost, a sa Blue Coat SSL dekripcijom osigurava se da svi konzumenti paketa na mreži (tj. sigurnosna rješenja) dobiju uvid u SSL kriptirani sadržaj. Dodavanje novih uređaja ili proširivanje kapaciteta moguće je jednostavno bez ispada i redizajna arhitekture mreže, a postojeće “kutije” mogu dobiti točno onaj promet koje su i dizajnirane da troše.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter