伴隨著加密技術(shù)的廣泛應(yīng)用與安全攻防技術(shù)的不斷升級,越來越多的用戶選擇通過加密技術(shù)來保護自己的數(shù)據(jù)安全。但加密技術(shù)這把“雙刃劍”,也讓隱藏在暗處的惡意攻擊有機可乘。在近幾年的攻防演練中,加密技術(shù)逐漸成為攻擊方用來攻破防守方安全防線的常用手段之一。
為了防住那些憑借加密技術(shù)射向業(yè)務(wù)安全的暗箭,用于檢測流量信息的流量探針開始兼職加密流量的解密任務(wù),雖然兼顧了業(yè)務(wù)安全與流量解密,但額外的性能開銷和解密不全導(dǎo)致的攻擊漏報依舊給業(yè)務(wù)安全埋下了重重隱患。
實現(xiàn)加密流量的可視化,將是加密時代下保護數(shù)據(jù)安全的關(guān)鍵。
1、消除安全盲點,聯(lián)合方案實現(xiàn)加密流量可視化
相比于傳統(tǒng)“探針+解密證書”的安全手段,深信服SSLO+SIP聯(lián)合解決方案將SSLO設(shè)備具備的SSL流量可視化、安全設(shè)備池化、安全流量智能編排等功能融入到集檢測、可視、響應(yīng)、預(yù)警等多功能于一體的安全感知平臺SIP中,幫助用戶構(gòu)建本地安全大腦,實現(xiàn)加密流量的可視化,讓安全可感知、易運營,真正看清業(yè)務(wù)現(xiàn)狀、看到潛伏威脅、看懂風(fēng)險影響。
對于用戶而言,加密流量不可視是最大的安全風(fēng)險。聯(lián)合解決方案可通過SSLO設(shè)備強大的SSL解密能力(搭配專用硬件加速卡,采用優(yōu)化密鑰管理、SSL協(xié)議層零拷貝等技術(shù),解密性能提升10倍),將RSA國際算法(如TLS1.0/1.1/1.2/1.3)和ECC等橢圓算法(如SM2國密算法)加密的密文流量解密為明文流量后,交由SIP安全感知平臺的STA探針進行風(fēng)險識別,經(jīng)過SIP安全感知平臺層層“安檢”,保證“潛伏攻擊”無所遁形。
注:SSLO+SIP聯(lián)合解決方案流程圖
SSLO設(shè)備與STA探針各司其職下,可有效保障所有加密流量可視化,消除潛在威脅和隱患的同時,有效降低STA探針和后端服務(wù)器的性能壓力,進一步提高資源利用率。當(dāng)STA探針識別出風(fēng)險流量時,也可及時聯(lián)動SSLO設(shè)備,自動下發(fā)防護策略,盡早阻斷安全攻擊,保障業(yè)務(wù)的安全運轉(zhuǎn)。
注:SSLO+SIP聯(lián)合解決方案流程圖
2、完備安全能力,安全防護不再靠運氣
以某市大數(shù)據(jù)資源中心業(yè)務(wù)系統(tǒng)和政府部門內(nèi)部業(yè)務(wù)系統(tǒng)的加密改造為例,方案落地前,資源中心完全無法檢測用戶的加密訪問是否夾帶惡意攻擊,安全與否全憑運氣。在攻防演練期間,為了防止政務(wù)云系統(tǒng)被攻陷,運維人員只能選擇臨時關(guān)閉訪問入口來確保業(yè)務(wù)系統(tǒng)的安全,影響諸多業(yè)務(wù)的開展。
注:某市政府SSLO+SIP聯(lián)合解決方案拓撲圖
方案落地后,統(tǒng)一門戶、辦公OA、工程管理平臺、ESB服務(wù)等業(yè)務(wù)系統(tǒng)的防護能力大大加強。無論是政府部門的內(nèi)部流量還是外網(wǎng)訪問的業(yè)務(wù)流,傳入服務(wù)器前都將進行統(tǒng)一的解密與檢測,整個過程完全處于透明的安全環(huán)境,確保加密后的惡意攻擊無處可藏。層層安檢下,政務(wù)云系統(tǒng)的安全不再“聽天由命”。如果數(shù)據(jù)中心想要進一步提高業(yè)務(wù)安全的防護能力,也可憑借SSLO+SIP的融合優(yōu)勢,實時組建具備WAF、防毒、蜜罐等功能的安全資源池,進一步保障業(yè)務(wù)安全。
聯(lián)合方案的推出,將幫助更多的用戶消除“加密流量不可視”的安全風(fēng)險。在這個安全攻擊手段頻出、數(shù)據(jù)安全愈發(fā)重要的時代,深信服將幫助更多的用戶守好數(shù)據(jù)安全的大門,將威脅拒之門外。
