Čo je dešifrovanie SSL/TLS?
Dešifrovanie SSL, tiež známe ako dešifrovanie SSL/TLS, sa vzťahuje na proces zachytávania a dešifrovania šifrovanej sieťovej prevádzky Secure Sockets Layer (SSL) alebo Transport Layer Security (TLS). SSL/TLS je široko používaný šifrovací protokol, ktorý zabezpečuje prenos dát cez počítačové siete, ako je internet.
Dešifrovanie SSL je zvyčajne vykonávané bezpečnostnými zariadeniami, ako sú brány firewall, systémy prevencie vniknutia (IPS) alebo vyhradené zariadenia na dešifrovanie SSL. Tieto zariadenia sú strategicky umiestnené v sieti, aby kontrolovali šifrovanú prevádzku z bezpečnostných dôvodov. Primárnym cieľom je analyzovať zašifrované údaje na potenciálne hrozby, malvér alebo neoprávnené aktivity.
Na vykonanie dešifrovania SSL bezpečnostné zariadenie funguje ako prostredník medzi klientom (napr. webovým prehliadačom) a serverom. Keď klient iniciuje pripojenie SSL/TLS so serverom, bezpečnostné zariadenie zachytí šifrovanú komunikáciu a vytvorí dve samostatné pripojenia SSL/TLS – jedno s klientom a druhé so serverom.
Bezpečnostné zariadenie potom dešifruje komunikáciu od klienta, skontroluje dešifrovaný obsah a aplikuje bezpečnostné politiky na identifikáciu akejkoľvek škodlivej alebo podozrivej aktivity. Môže tiež vykonávať úlohy, ako je prevencia straty údajov, filtrovanie obsahu alebo detekcia škodlivého softvéru na dešifrovaných údajoch. Po analýze prevádzky ju bezpečnostné zariadenie znova zašifruje pomocou nového certifikátu SSL/TLS a odošle ju na server.
Je dôležité poznamenať, že dešifrovanie SSL vyvoláva obavy o súkromie a bezpečnosť. Keďže bezpečnostné zariadenie má prístup k dešifrovaným údajom, môže potenciálne zobraziť citlivé informácie, ako sú používateľské mená, heslá, podrobnosti o kreditných kartách alebo iné dôverné údaje prenášané cez sieť. Preto sa dešifrovanie SSL vo všeobecnosti implementuje v kontrolovaných a zabezpečených prostrediach, aby sa zabezpečilo súkromie a integrita zachytených údajov.
Dešifrovanie SSL má tri bežné režimy:
- Pasívny režim
- Vstupný režim
- Odchádzajúci režim
Aké sú však rozdiely medzi tromi režimami dešifrovania SSL?
| Režim | Pasívny režim | Vstupný režim | Odchádzajúci režim |
| Popis | Jednoducho preposiela prevádzku SSL/TLS bez dešifrovania alebo úpravy. | Dešifruje požiadavky klientov, analyzuje a aplikuje bezpečnostné politiky a potom posiela požiadavky na server. | Dešifruje odpovede servera, analyzuje a aplikuje bezpečnostné politiky a potom odošle odpovede klientovi. |
| Dopravný tok | Obojsmerný | Klient na server | Server ku klientovi |
| Rola zariadenia | Pozorovateľ | Man-in-the-Middle | Man-in-the-Middle |
| Miesto dešifrovania | Žiadne dešifrovanie | Dešifruje na okraji siete (zvyčajne pred serverom). | Dešifruje na okraji siete (zvyčajne pred klientom). |
| Dopravná viditeľnosť | Iba šifrovaný prenos | Dešifrované požiadavky klientov | Dešifrované odpovede servera |
| Úprava premávky | Žiadna úprava | Môže upravovať návštevnosť na účely analýzy alebo zabezpečenia. | Môže upravovať návštevnosť na účely analýzy alebo zabezpečenia. |
| SSL certifikát | Nie je potrebný súkromný kľúč ani certifikát | Vyžaduje súkromný kľúč a certifikát pre zachytený server | Vyžaduje súkromný kľúč a certifikát pre zachyteného klienta |
| Kontrola zabezpečenia | Obmedzená kontrola, pretože nemôže kontrolovať ani upravovať šifrovaný prenos | Môže skontrolovať a aplikovať bezpečnostné zásady na požiadavky klientov pred dosiahnutím servera | Môže skontrolovať a aplikovať bezpečnostné politiky na odpovede servera pred dosiahnutím klienta |
| Obavy o súkromie | Nepristupuje ani neanalyzuje šifrované údaje | Má prístup k dešifrovaným požiadavkám klientov, čo vyvoláva obavy o súkromie | Má prístup k dešifrovaným odpovediam servera, čo vyvoláva obavy o súkromie |
| Úvahy o zhode | Minimálny vplyv na súkromie a súlad | Môže vyžadovať súlad s nariadeniami o ochrane osobných údajov | Môže vyžadovať súlad s nariadeniami o ochrane osobných údajov |
V porovnaní so sériovým dešifrovaním platformy bezpečného doručovania má tradičná technológia sériového dešifrovania obmedzenia.
Firewally a sieťové bezpečnostné brány, ktoré dešifrujú prenos SSL/TLS, často zlyhávajú pri odosielaní dešifrovaného prenosu do iných monitorovacích a bezpečnostných nástrojov. Podobne vyrovnávanie záťaže eliminuje prenos SSL/TLS a dokonale rozdeľuje zaťaženie medzi servery, ale nedokáže distribuovať prenos do viacerých reťazových bezpečnostných nástrojov pred jeho opätovným šifrovaním. Nakoniec, týmto riešeniam chýba kontrola nad výberom prenosu a budú distribuovať nešifrovaný prenos rýchlosťou drôtu, zvyčajne posielajú celý prenos do dešifrovacieho jadra, čo vytvára problémy s výkonom.
Pomocou dešifrovania Mylinking™ SSL môžete vyriešiť tieto problémy:
1- Zlepšiť existujúce bezpečnostné nástroje centralizáciou a odstránením dešifrovania a opätovného šifrovania SSL;
2- Odhaľte skryté hrozby, porušenia údajov a malvér;
3- Rešpektovať súlad s ochranou osobných údajov so selektívnymi metódami dešifrovania založenými na politike;
4 - Servisný reťazec viacerých aplikácií prevádzkového spravodajstva, ako je delenie paketov, maskovanie, deduplikácia a adaptívne filtrovanie relácií atď.
5- Ovplyvnite výkon vašej siete a vykonajte príslušné úpravy, aby ste zaistili rovnováhu medzi bezpečnosťou a výkonom.
Toto sú niektoré z kľúčových aplikácií dešifrovania SSL v sieťových sprostredkovateľoch paketov. Dešifrovaním prenosu SSL/TLS zvyšujú NPB viditeľnosť a efektívnosť bezpečnostných a monitorovacích nástrojov, čím zabezpečujú komplexnú ochranu siete a možnosti monitorovania výkonu. Dešifrovanie SSL v sieťových sprostredkovateľoch paketov (NPB) zahŕňa prístup a dešifrovanie šifrovanej prevádzky na účely kontroly a analýzy. Zabezpečenie súkromia a bezpečnosti dešifrovanej prevádzky je nanajvýš dôležité. Je dôležité poznamenať, že organizácie, ktoré nasadzujú dešifrovanie SSL v NPB, by mali mať zavedené jasné zásady a postupy, ktorými sa bude riadiť používanie dešifrovanej prevádzky, vrátane riadenia prístupu, manipulácie s údajmi a zásad uchovávania. Súlad s platnými právnymi a regulačnými požiadavkami je nevyhnutný na zabezpečenie súkromia a bezpečnosti dešifrovanej prevádzky.
Čas odoslania: 04.09.2023
