Blog

Povećajte istovremeno skalabilnost i sigurnost mreže uz uvid u SSL promet

Best practice dizajn gateway mreže se menja pod pritiskom zahteva sigurnosti: sve veći broj “kutija” koje transparentno obrađuju promet inline ili out-of-band (npr. Fireeye ATP, Checkpoint IPS, network monitoring, itd.), zatim high-availability zahtevi, te potreba za uvidom u SSL kriptovani sadržaj na više tačaka inspekcije istovremeno – sve su to faktori koji opasno narušavaju skalabilnost modernih gateway mreža. Konkretni rezultati ovakvih trendova su dosezanje kapaciteta prometa pojedinih “kutija” na mreži (cpu/memorija), češći ispadi sa uticajem na poslovanje (više tačaka inspekcije znači i više tačaka ispada, administracije, troubleshootinga, itd.) te iscrpljivanje fizičkih portova na postojećim mrežnim “kutijama”.

Kako vratiti skalabilnost u mrežu, bolje iskoristiti postojeće mrežne “kutije”, izbeći skupe nadogradnje i povećati raspoloživost usluge, a istovremeno povećati sigurnost uvidom u SSL kriptovani sadržaj? Zvuči kao nemoguća misija? Pročitajte u nastavku šta omogućava SSL inspekcija sa Blue Coat-om i Gigamon packet broker tehnologija.

SSL/TLS protokol je ključan za osiguravanje sigurne razmene informacija u svakodnevnoj poslovnoj komunikaciji, a koliko je rasprostranjen govori i procena Gartnera koja kaže kako SSL danas čini oko 30% web prometa uz procenu stope rasta od 20% godišnje. Ovim trendom će kroz dve godine većina prometa u LAN mrežama biti kriptovana.

SSL protokolom kriptovani promet bez prethodne dekripcije nije vidljiv sigurnosnim i/ili rešenjima za nadzor i analizu mrežnog prometa što onemogućava klasifikaciju prometa u mreži, pa tako nije moguće videti koje aplikacije odnosno protokoli su zastupljeni u mreži. Situacija može postati gora kada napadači u mrežu isporuče malware kriptovan SSL protokolom. Procena je da oko 50% mrežnih napada prolazi zbog kriptovanog prometa nevidljivog standardnim sigurnosnim rešenjima.

Današnje mreže sastoje se od mnogo sigurnosnih rešenja  (NGFW, IDS, IPS, WAF…), koja sama ne vide kriptovani promet. a ovisno o nameni su u inline ili out of band načinu rada. Kako bi ispunili svoju svrhu, tim rešenjima treba dovesti nekripitovani promet jer bi zasebna dekripcija prometa za svako od navedenih rešenja bila neefikasno i definitivno neisplativo rešenje . Obzirom na brojnost bezbednosnih rešenja povezanih u seriju sa svakim alatom smanjuju se performanse , pouzdanost i povećava rizik od prekida mrežne povezanosti usled ispada samo jednog od uređaja . Takođe , u slučaju nadogradnji odnosno redovnog održavanja postojati će prekid u radu usluge , pa se sve radnje oko održavanja sistema moraju planirati u vreme najmanje opterećenosti što najčešće znači usred noći , rano ujutro itd .

Problem vidljivosti kriptovanog mrežnog prometa moguće je rešiti korišćenjem Blue Coat SSL Visibility Appliance rešenja koje će omogućiti SSL dekripciju / enkripciju , te na taj način rasteretiti ostala sigurnosna rešenja koje neće morati odrađivati i taj posao ( decript once , feed mani ) , a distribuciju kompletnog mrežnog saobraćaja svim bezbednosnim i mrežnim rešenjima moguće je odraditi packet brokerom kao što je Gigamon.

Blue_Coat_Gigamon

Kako radi predlog rješenja:

  1. Kompletan mrežni promet dolazi sa klijentske mreže (strana A na slici) i ulazi u Gigamon
  2. Gigamon usmerava mrežni promet na Blue Coat SSL Visiblity Appliance koji radi dekripciju SSL prometa
  3. SSL Visibility Appliance dekriptovani promet vraća na Gigamon
  4. Gigamon dekriptovani promet u zavisnosti od zadatih uslova šalje na inline i/ili out of band rešenja koja zatim izvršavaju inspekciju prometa. Gigamon ovde postaje tzv. Visibility Fabric odnosno element koji inteligentno može slati promet na različite potrošače paketa, radi raspodelu opterećenja, health check provere, failover, itd.
  5. Sigurnosna rešenja nakon inspekcije prometa vraćaju isti na Gigamon
  6. Gigamon vraća rezultate na SSL Visibility Appliance koji odlučuje može li se sesija uspostaviti ili šalje reset klijentu
  7. Ukoliko se sesija uspostavlja promet se šalje na Gigamon
  8. Gigamon šalje promet na traženu destinaciju tj. SSL server (strana B)

Izdvojene mogućnosti:

  • Gigamon Inline bypass funkcionalnost sprečava ispad  mrežne povezanosti u slučaju ispada nekog od sigurnosnih rešenja
  • Gigamon omogućuje filtriranje dekriptovanog mrežnog prometa kako bi pojedina inline sigurnosna rešenja dobila samo promet namenjen njima
  • Out-of band sigurnosna i mrežna rešenja uz packet slicing i packet masking funkcionalnosti dobiće samo onaj mrežni promet koji im je potreban uz sačuvanu maksimalnu privatnost podataka
  • Load balancing funkcionalnost omogućiće distribuciju mrežnog prometa na više sigurnosnih i mrežnih rešenja u slučaju zahteva za većom propusnošću od mrežne propusnosti samog sigurnosnog odnosno mrežnog rešenja.

Ovakvim redizajnom gateway mreže koristeći Gigamon Visibility Fabric dobija se skalabilnost, a sa Blue Coat SSL dekripcijom osigurava se da svi konzumenti paketa na mreži (tj. sigurnosna rešenja) dobiju uvid u SSL kriptovani sadržaj. Dodavanje novih uređaja ili proširivanje kapaciteta moguće je jednostavno bez ispada i redizajna arhitekture mreže, a postojeće “kutije” mogu dobiti tačno onaj promet za koji su i dizajnirane da troše.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter