image-20221206154021424

一、F5 SSLO 产生背景

不断增加的加密流量阻碍了 IT 和安全运营 (SecOps) 团队保护其应用程序、客户数据和知识产权的能力。传统的安全网关、网络防火墙(甚至下一代防火墙 (NGFW)) 和入侵防御系统 (IPS) 对 SSL/TLS 流量越来越视而不见。在网络钓鱼和鱼叉式网络钓鱼攻击中,攻击者通常将威胁隐藏在加密网站链接或加密有效载荷附件中,并在数据泄露和通信过程中使用加密通道逃避检测。

他们将根据已知的安全产品差距选择特定的密码原语,以强制绕过加密的恶意流量。SSL/TLS 加密的增长对企业来说是一个挑战,因为如果没有能够大规模高效检查入站和出站 SSL/TLS 流量的安全工具,加密攻击就无法被检测到,从而使您的应用程序和数据暴露于漏洞中。

不过,对 SSL/TLS 流量的可见性和检查只是触及了安全的表面。大多数组织缺乏跨组织安全堆栈中常见的多个现有和部署的安全检查设备集中控制和实现解密策略的能力。许多组织求助于菊花链设备或繁琐的手动配置来支持跨安全堆栈的检查—增加了延迟、复杂性和风险。

加密威胁保护的关键:加密流量的可见性和编排

二、F5 SSLO 介绍

F5 SSL Orchestrator(SSLO)是一种设计优化 SSL 架构的一体式应用解决方案,旨在增强 SSL/TLS 基础设施,提供可见 SSL/TLS 加密流量的安全解决方案,并优化和最大化您现有的安全投资。SSL Orchestrator 提供动态服务链和基于策略的流量转向,将基于上下文的智能应用于加密流量处理,以允许您智能地管理整个安全栈的加密流量,确保最佳可用性。

F5 SSL Orchestrator 可以轻松地与现有架构集成,并集中管理 SSL/TLS 解密/重加密功能,在整个安全基础设施中提供最新的SSL加密技术。借助SSL Orchestrator的高性能加密和解密功能,您的组织可以利用现有的安全解决方案,在多个阶段快速发现隐藏的威胁并阻止攻击。

F5 SSL Orchestrator 确保加密的流量可以被解密,由安全控制部门检查,然后重新加密——提供增强的可见性,以减轻穿越网络的威胁。因此,您可以最大限度地增加对恶意软件、DLP (data loss prevention)、勒索软件和下一代防火墙(NGFW)的安全服务投资,从而防止流入和流出的威胁,包括利用、回调和数据泄漏。

F5 SSL Orchestrator 最大限度地提高了各种检查设备的效率和性能,同时保持了最佳的安全性。动态流量导向如下图所示:

sslo_traffic

三、F5 SSLO 主要优势

1、🏆 流量可视化

F5 SSL Orchestrator 通过集中解密/加密功能,支持对SSL/TLS流量的可见性,使安全检查能够更高效地暴露威胁,并阻止网络钓鱼、鱼叉式网络钓鱼、勒索软件等攻击。支持对防火墙、IPSs、anti-malware、DLPs、安全web网关(HTTP代理服务)和取证工具等第三方安全设备的流量进行策略管理和导向,使您能够实现安全投资的全部价值。

2、🏅 提高现有安全工具的可伸缩性和可用性

具有大量流量负载的企业将通过利用F5 SSL Orchestrator的健康监视、负载平衡和SSL卸载功能来优化安全部署。这些功能使您的安全投资能够更好地扩展并动态地将多层安全设备连接起来,独立地监控和扩展它们。使用故障转移保护扩展现有的已部署安全设备,可以实现更好的利用率和服务可用性。

3、🥇 基于上下文的动态服务链

F5 SSL Orchestrator 动态链安全服务,包括反病毒/反恶意软件产品、入侵检测系统(IDS)、IPSs、ngfw、安全web网关(HTTP代理服务)和dlp等。它利用分类指标(如域名、内容类别、地理位置、IP信誉)和其他策略来确定是否解密流量以及应该将流量发送给哪些服务。

image-20221206163924819

F5 SSL Orchestrator 利用其上下文感知的策略引擎,将解密的流量引导到适当的安全服务链,并可以对敏感的用户流量(如与金融或医疗保健相关的流量)执行智能绕过。

image-20221206164454894

4、🥈 使用易于集成的灵活选项进行部署

F5 SSL Orchestrator 支持多种部署模式,可以轻松集成到即使是最复杂的体系结构中。这集中了SSL/TLS解密/重加密服务,并在整个安全基础设施中提供最新的加密技术。它消除了您的组织重新构建网络以支持加密流量的可见性、编排和有效地将流量路由到适当的安全服务的需要,此外还可以动态地链接适当的安全服务。这有助于更好地利用、保存和防范您的安全解决方案投资。此外,SSL Orchestrator 还包括一个循序渐进的 Guided Configuration,以帮助您的 IT 或 SecOps 团队在现有体系结构和现有安全解决方案中逻辑地完成部署。Guided Configuration 简化了 SSL Orchestrator 的部署,并使您和您的组织能够更好、更快地受到保护,免受加密威胁的冲击。

5、🥉 审视下一代加密协议

下一代加密协议正在随着业界最佳实践的发展而发展,以增强安全性和隐私性。新出现的标准鼓励快速采用 SSL 前向保密以提高网络安全性。向下一代加密的过渡会打破被动的SSL设备,绕过你的安全控制,并将你、你的网络、你的应用程序和你的数据置于风险之中。F5 SSL Orchestrator的多样化密码支持可以在不改变架构的情况下实现更大的灵活性,从而防止出现新的盲点。

四、F5 SSLO 主要架构

不同的环境需要不同的网络实现。而架构有些可以轻松支持第 3 层(路由)的 SSL 可见性,有些则可能要求将这些设备插入第 2 层。SSL 编排器可 使用以下拓扑支持所有这些网络要求 选项:

  • Inbound reverse proxy
  • Outbound transparent proxy
  • Existing application
  • Outbound explicit proxy
  • Inbound layer 2
  • Outbound layer 2