HTTP/2.0 時代的 SSL 流量可視化與監控

企業趨勢科技專欄 by 張益杭 on 29 十一月, 2015

應用交付網絡供應商 F5 Networks 的「SSL Everywhere」架構以每個 F5 BIG-IP 的部份部署自定義 SSL 或 TLS 堆疊為中心，確保 F5 實現在 HTTP/2.0 時代對 SSL 流量的可視化與監控。

為何 SSL 或 TLS 中的流量可視化與監控如此重要？僅在十年前，SSL 專屬於金融機構以及某些特定機構例如公共部門的網站服務登入，這類網頁通常對於安全較為敏感。如今這一現象已經延伸至大部分以網絡為基礎的服務，並迅速成為交流通訊中的標準協議。根據 Gartner 的行業調查，截至 2015 年底，全球超過 50% 的網絡流量將會加密。

TLS 現在憑藉範式轉移為網絡伺服器帶來通訊安全，是企業處理 IT 網絡的手段。對稱的加密技術對傳輸中的數據進行加密，確保用戶和伺服器之間連結的私密性。

HTTP/2.0中 SSL 或 TLS 流量的可視化與監控

隨著加密網絡流量的使用增加，傳統依賴於防火牆、入侵防護系統以及入侵偵測系統的方式已成明日黃花，因這些方式無法感知傳送流入的數據而在面對威脅時顯得措手不及。

解決這一問題的方案是要在安全界限中實施最初的 SSL 解碼。然而，市場中大部分在安全界限中運作的解決方案都並非以專門的「SSL 解碼」為設計目的。儘管有一些或許有能力解碼，卻無法滿足大量的需求。許多企業在開啟了 SSL 解碼之後都會面臨顯著的效能下降。因此這令我們思考應「如何」設計這一界限並加入優化的 SSL 流量處理。明然地，為了盡力實現 layer 7 安全裝置的功效，SSL 解碼應該要在近乎安全界限處執行。一旦入站的 SSL 經過解碼，所產生的請求將可以經過分析、修改和引導。

SSL 加密

網絡犯罪往往知悉裝置實質就是安全漏洞，因而時常利用SSL繞過安全裝置發動攻擊。隱藏在 SSL 流量中的惡意軟件也可以輕鬆繞過安全平台。Gartner 也估計到2017年，超過 50% 針對企業網絡實施的攻擊將會使用 SSL 繞過安全防護。

隨著越來越多易受攻擊的加密套件被發現產生了例如 Heartbleed、BEAST、POODLE 等甚至更多的攻擊，安全管理人員面臨緊迫的安全漏洞修復壓力。然而，管理成百上千的 SSL 前端伺服器可能會耗費數週時間才能加以修復，與此同時，企業依然面臨更多來自惡意資源的攻擊威脅。

因此，我們要了解甚麼類型的流量需要解碼。如果企業在為公司以外的用戶提供內容，便需要運用裝置從伺服器中降低 SSL 流量，之後再在流量中加入防護。這會以一個智能的方式打破 SSL ——你不會想要解碼銀行交易的環節但會想要解碼 Facebook 的部分。安全防護需要有這種了解流量去向何處的智能，然後決定是否需要解碼還是保留原樣。