Čo je dešifrovanie SSL/TLS?
Dešifrovanie SSL, známe aj ako dešifrovanie SSL/TLS, označuje proces zachytávania a dešifrovania sieťovej prevádzky šifrovanej protokolom SSL (Secure Sockets Layer) alebo TLS (Transport Layer Security). SSL/TLS je široko používaný šifrovací protokol, ktorý zabezpečuje prenos údajov cez počítačové siete, ako je internet.
Dešifrovanie SSL sa zvyčajne vykonáva pomocou bezpečnostných zariadení, ako sú firewally, systémy prevencie prienikov (IPS) alebo špecializované zariadenia na dešifrovanie SSL. Tieto zariadenia sú strategicky umiestnené v sieti, aby kontrolovali šifrovanú prevádzku z bezpečnostných dôvodov. Primárnym cieľom je analyzovať šifrované údaje, či neobsahujú potenciálne hrozby, škodlivý softvér alebo neoprávnené aktivity.
Na vykonanie dešifrovania SSL funguje bezpečnostné zariadenie ako sprostredkovateľ medzi klientom (napr. webovým prehliadačom) a serverom. Keď klient nadviaže pripojenie SSL/TLS so serverom, bezpečnostné zariadenie zachytí šifrovanú prevádzku a vytvorí dve samostatné pripojenia SSL/TLS – jedno s klientom a jedno so serverom.
Bezpečnostné zariadenie potom dešifruje prevádzku od klienta, skontroluje dešifrovaný obsah a aplikuje bezpečnostné politiky na identifikáciu akejkoľvek škodlivej alebo podozrivej aktivity. Môže tiež vykonávať úlohy, ako je prevencia straty údajov, filtrovanie obsahu alebo detekcia škodlivého softvéru na dešifrovaných údajoch. Po analýze prevádzky ju bezpečnostné zariadenie znova zašifruje pomocou nového certifikátu SSL/TLS a prepošle ju na server.
Je dôležité poznamenať, že dešifrovanie SSL vyvoláva obavy o súkromie a bezpečnosť. Keďže bezpečnostné zariadenie má prístup k dešifrovaným údajom, môže si potenciálne zobraziť citlivé informácie, ako sú používateľské mená, heslá, údaje o kreditných kartách alebo iné dôverné údaje prenášané cez sieť. Preto sa dešifrovanie SSL vo všeobecnosti implementuje v kontrolovaných a zabezpečených prostrediach, aby sa zabezpečila ochrana súkromia a integrita zachytených údajov.
Dešifrovanie SSL má tri bežné režimy:
- Pasívny režim
- Prichádzajúci režim
- Odchádzajúci režim
Aké sú však rozdiely medzi tromi režimami dešifrovania SSL?
| Režim | Pasívny režim | Prichádzajúci režim | Odchádzajúci režim |
| Popis | Jednoducho preposiela SSL/TLS prevádzku bez dešifrovania alebo úprav. | Dešifruje požiadavky klientov, analyzuje a aplikuje bezpečnostné politiky a potom preposiela požiadavky na server. | Dešifruje odpovede servera, analyzuje a aplikuje bezpečnostné politiky a potom preposiela odpovede klientovi. |
| Tok dopravy | Obojsmerný | Klient-server | Server ku klientovi |
| Úloha zariadenia | Pozorovateľ | Človek uprostred | Človek uprostred |
| Miesto dešifrovania | Žiadne dešifrovanie | Dešifruje na perimetri siete (zvyčajne pred serverom). | Dešifruje na perimetri siete (zvyčajne pred klientom). |
| Viditeľnosť premávky | Iba šifrovaná prevádzka | Dešifrované požiadavky klientov | Dešifrované odpovede servera |
| Úprava premávky | Žiadna úprava | Môže upravovať prevádzku z analytických alebo bezpečnostných dôvodov. | Môže upravovať prevádzku z analytických alebo bezpečnostných dôvodov. |
| SSL certifikát | Nie je potrebný súkromný kľúč ani certifikát | Vyžaduje sa súkromný kľúč a certifikát pre zachytávaný server | Vyžaduje sa súkromný kľúč a certifikát pre klienta, ktorého sa má odpočúvať |
| Bezpečnostná kontrola | Obmedzená kontrola, pretože nemôže kontrolovať ani upravovať šifrovanú prevádzku | Môže kontrolovať a aplikovať bezpečnostné politiky na požiadavky klientov pred dosiahnutím servera | Dokáže skontrolovať a aplikovať bezpečnostné politiky na odpovede servera predtým, ako sa dostanú ku klientovi |
| Obavy týkajúce sa súkromia | Nepristupuje k šifrovaným údajom ani ich neanalyzuje | Má prístup k dešifrovaným požiadavkám klientov, čo vyvoláva obavy o súkromie | Má prístup k dešifrovaným odpovediam servera, čo vyvoláva obavy o súkromie |
| Úvahy o dodržiavaní predpisov | Minimálny vplyv na súkromie a dodržiavanie predpisov | Môže vyžadovať dodržiavanie predpisov o ochrane osobných údajov | Môže vyžadovať dodržiavanie predpisov o ochrane osobných údajov |
V porovnaní so sériovým dešifrovaním platformy zabezpečeného doručovania má tradičná technológia sériového dešifrovania obmedzenia.
Brány firewall a bezpečnostné brány siete, ktoré dešifrujú prevádzku SSL/TLS, často nedokážu odoslať dešifrovanú prevádzku do iných monitorovacích a bezpečnostných nástrojov. Podobne vyvažovanie záťaže eliminuje prevádzku SSL/TLS a dokonale rozdeľuje záťaž medzi servery, ale nedokáže rozdeliť prevádzku do viacerých reťazených bezpečnostných nástrojov pred jej opätovným šifrovaním. Nakoniec, tieto riešenia nemajú kontrolu nad výberom prevádzky a distribuujú nešifrovanú prevádzku rýchlosťou kábla, pričom zvyčajne odosielajú celú prevádzku do dešifrovacieho nástroja, čo vytvára problémy s výkonom.
S dešifrovaním SSL protokolu Mylinking™ môžete vyriešiť tieto problémy:
1. Zlepšiť existujúce bezpečnostné nástroje centralizáciou a odľahčením dešifrovania a opätovného šifrovania SSL;
2. Odhaľte skryté hrozby, úniky údajov a malware;
3. Rešpektujte súlad s ochranou súkromia údajov pomocou metód selektívneho dešifrovania založených na politikách;
4. Viaceré aplikácie pre analýzu prevádzky v rámci reťazca služieb, ako je napríklad segmentovanie paketov, maskovanie, deduplikácia a adaptívne filtrovanie relácií atď.
5. Ovplyvnite výkon svojej siete a vykonajte vhodné úpravy, aby ste zabezpečili rovnováhu medzi bezpečnosťou a výkonom.
Toto sú niektoré z kľúčových aplikácií dešifrovania SSL v sieťových sprostredkovateľoch paketov. Dešifrovaním prevádzky SSL/TLS zvyšujú NPB viditeľnosť a efektívnosť bezpečnostných a monitorovacích nástrojov, čím zabezpečujú komplexnú ochranu siete a možnosti monitorovania výkonu. Dešifrovanie SSL v sieťových sprostredkovateľoch paketov (NPB) zahŕňa prístup k šifrovanej prevádzke a jej dešifrovanie na účely kontroly a analýzy. Zabezpečenie súkromia a bezpečnosti dešifrovanej prevádzky je nanajvýš dôležité. Je dôležité poznamenať, že organizácie nasadzujúce dešifrovanie SSL v NPB by mali mať zavedené jasné zásady a postupy na riadenie používania dešifrovanej prevádzky vrátane politík riadenia prístupu, manipulácie s údajmi a uchovávania údajov. Dodržiavanie platných právnych a regulačných požiadaviek je nevyhnutné na zabezpečenie súkromia a bezpečnosti dešifrovanej prevádzky.
Čas uverejnenia: 4. septembra 2023
