伴隨著加密技術的廣泛應用與安全攻防技術的不斷升級,越來越多的用戶選擇通過加密技術來保護自己的數據安全。但加密技術這把“雙刃劍”,也讓隱藏在暗處的惡意攻擊有機可乘。在近幾年的攻防演練中,加密技術逐漸成為攻擊方用來攻破防守方安全防線的常用手段之一。
為了防住那些憑借加密技術射向業務安全的暗箭,用于檢測流量信息的流量探針開始兼職加密流量的解密任務,雖然兼顧了業務安全與流量解密,但額外的性能開銷和解密不全導致的攻擊漏報依舊給業務安全埋下了重重隱患。
實現加密流量的可視化,將是加密時代下保護數據安全的關鍵。
1、消除安全盲點,聯合方案實現加密流量可視化
相比于傳統“探針+解密證書”的安全手段,深信服SSLO+SIP聯合解決方案將SSLO設備具備的SSL流量可視化、安全設備池化、安全流量智能編排等功能融入到集檢測、可視、響應、預警等多功能于一體的安全感知平臺SIP中,幫助用戶構建本地安全大腦,實現加密流量的可視化,讓安全可感知、易運營,真正看清業務現狀、看到潛伏威脅、看懂風險影響。
對于用戶而言,加密流量不可視是最大的安全風險。聯合解決方案可通過SSLO設備強大的SSL解密能力(搭配專用硬件加速卡,采用優化密鑰管理、SSL協議層零拷貝等技術,解密性能提升10倍),將RSA國際算法(如TLS1.0/1.1/1.2/1.3)和ECC等橢圓算法(如SM2國密算法)加密的密文流量解密為明文流量后,交由SIP安全感知平臺的STA探針進行風險識別,經過SIP安全感知平臺層層“安檢”,保證“潛伏攻擊”無所遁形。
注:SSLO+SIP聯合解決方案流程圖
SSLO設備與STA探針各司其職下,可有效保障所有加密流量可視化,消除潛在威脅和隱患的同時,有效降低STA探針和后端服務器的性能壓力,進一步提高資源利用率。當STA探針識別出風險流量時,也可及時聯動SSLO設備,自動下發防護策略,盡早阻斷安全攻擊,保障業務的安全運轉。
注:SSLO+SIP聯合解決方案流程圖
2、完備安全能力,安全防護不再靠運氣
以某市大數據資源中心業務系統和政府部門內部業務系統的加密改造為例,方案落地前,資源中心完全無法檢測用戶的加密訪問是否夾帶惡意攻擊,安全與否全憑運氣。在攻防演練期間,為了防止政務云系統被攻陷,運維人員只能選擇臨時關閉訪問入口來確保業務系統的安全,影響諸多業務的開展。
注:某市政府SSLO+SIP聯合解決方案拓撲圖
方案落地后,統一門戶、辦公OA、工程管理平臺、ESB服務等業務系統的防護能力大大加強。無論是政府部門的內部流量還是外網訪問的業務流,傳入服務器前都將進行統一的解密與檢測,整個過程完全處于透明的安全環境,確保加密后的惡意攻擊無處可藏。層層安檢下,政務云系統的安全不再“聽天由命”。如果數據中心想要進一步提高業務安全的防護能力,也可憑借SSLO+SIP的融合優勢,實時組建具備WAF、防毒、蜜罐等功能的安全資源池,進一步保障業務安全。
聯合方案的推出,將幫助更多的用戶消除“加密流量不可視”的安全風險。在這個安全攻擊手段頻出、數據安全愈發重要的時代,深信服將幫助更多的用戶守好數據安全的大門,將威脅拒之門外。
