■Ixia Lora O'Haver

加密能保護網(wǎng)絡流量免遭黑客侵害，卻阻止了安全及監(jiān)測工具探知網(wǎng)絡中傳遞的數(shù)據(jù)包的內部情況。事實上，許多企業(yè)未對加密流量進行全面檢查就任其流經自己的網(wǎng)絡，黑客往往利用加密來隱藏惡意軟件并發(fā)起攻擊，從而劫持用戶網(wǎng)絡。為保持強健的防御能力以及降低安全漏洞和數(shù)據(jù)丟失的風險，我們必須對所有的網(wǎng)絡流量進行解密、檢查并重新加密。

解密帶來的負擔

解密設備必須保證功能強大。為抵御數(shù)據(jù)劫持，加密算法也日益變得越來越長且逾加復雜。多年前，NSS實驗室的測試表明，密碼從1024位變?yōu)?048位后，8款領先的防火墻平均性能下降81%。事實上，針對SSL的解密無需在防火墻處完成。而現(xiàn)在，一些新策略已支持Offload解密工作，并向工具發(fā)送明文，從而讓其高效工作并處理更多流量。以下四項策略可讓解密變得更加輕松、快速且經濟高效。

策略一：在解密前移除惡意流量

曾用于網(wǎng)絡攻擊的許多IP地址會被重新使用，并被公布于安全社區(qū)內。相關組織每天都會跟蹤并確認已知的網(wǎng)絡威脅，并將此類信息保存在情報數(shù)據(jù)庫內。通過該數(shù)據(jù)庫對流入及流出的數(shù)據(jù)包進行比對，可辨別出惡意流量并加以阻止。由于對比是通過明文的包頭完成的，該策略無需對數(shù)據(jù)包進行解密。提前將與已知攻擊者相關的流量過濾掉可以減少需要解密的數(shù)據(jù)包數(shù)量。此外，對這部分將會引發(fā)安全警報的流量進行剔除也有助于安全團隊提高效率。

部署此項策略的最快方法是在防火墻前端安裝威脅情報網(wǎng)關的專用硬件設備。其旨在快速、大量地阻止惡意流量，通過綜合威脅情報源對其自身進行不間斷的更新。安裝后，該網(wǎng)關將無需人工干預，也無需創(chuàng)建或維護相應的過濾器。惡意流量要么被立即丟棄，要么被發(fā)送至沙箱接受進一步的分析。根據(jù)所處的行業(yè)以及被惡意攻擊的頻率，可以因此可減少達80%的安全警報。

另外，也可以在防火墻上配置自定義的過濾器以阻止特定IP地址。但防火墻過濾器必須手動配置與維護，并且在能創(chuàng)建的過濾器數(shù)量方面也存在限制。聯(lián)網(wǎng)設備與遭受攻擊IP地址的爆炸性增長令防火墻能力捉襟見肘。此外，在防火墻一類高級設備上進行循環(huán)處理只為完成簡單對比的操作，而并不是阻止流量的經濟高效方式。

策略二：尋求高級解密功能

對來往于惡意源頭的加密數(shù)據(jù)包進行移除后，余下部分數(shù)據(jù)亦需由解密設備處理。許多安全工具，如下一代防火墻或入侵防御系統(tǒng)均具有SSL解密功能。但某些安全工具可能未包含最新密鑰，從而導致在非標準端口上發(fā)生SSL通信丟失，還可能無法按吞吐率完成加密、甚至會在完全未實施解密情況下快速建立某些連接。

密碼學依賴于先人一步的預防措施。安全解決方案必須支持最新加密標準，結合各式的密鑰與算法，并擁有使用更大2048位與4096位密鑰以及更新Elliptic Curve密鑰解密流量的能力。隨著安全技術復雜度攀升，解決方案必須能夠有效且經濟高效地處理解密，即避免丟包、引發(fā)錯誤或未能完成全面檢查。

隨著SSL流量的增加，為實現(xiàn)完全的網(wǎng)絡可視性，解密解決方案質量將日漸重要。此外，縱深防御也成為公認的最佳實踐，其通常需要使用多項同類最佳的安全設備（如獨立防火墻與IPS）。而讓這些設備全部經歷一遍流量解密與再加密將導致安全工具效率低下，不僅會增加網(wǎng)絡延遲，還會降低策略效力及端到端的可視性。

策略三：選擇操作簡單的工具

另一項關鍵特性是管理員可以通過簡單操作來創(chuàng)建并管理解密相關策略。杰出的解決方案可提供基于拖放式的用戶操作界面來完成過濾器的創(chuàng)建，從而有能力實現(xiàn)選擇性的數(shù)據(jù)轉發(fā)或針對基于內容識別的數(shù)據(jù)脫敏。這些解決方案還可以很容易為每個被使用的SSL密鑰以及通信過程中產生的所有異常（如丟失的會話、SSL故障、無效證書）保存完整記錄。對于審計、取證、網(wǎng)絡故障排除以及容量規(guī)劃而言，這些詳細的日志都非常寶貴。

策略四：規(guī)劃經濟高效的可擴展性

隨著加密流量數(shù)量的增加，解密將對安全基礎架構的性能帶來更大的影響，因此提前規(guī)劃十分必要。雖然簡單地“開啟”防火墻中的SSL解密功能，或一體化威脅管理（UTM）解決方案似乎合情合理，但解密是一項需要在過程中進行大量處理的功能。由于SSL流量增加以及解密需要的更多周期，整體性能將會受到影響，工具同時也可能出現(xiàn)丟包。為了增強多功能設備中流量的流動能力，唯一的選項就是擴大整體容量。擴容會帶來大量資本支出，同時為了確保設備能夠承擔解密，某些功能還將產生額外成本。

更好的一個選項是通過采用具有SSL解密功能的網(wǎng)絡可視性解決方案或網(wǎng)絡數(shù)據(jù)包中轉設備（NPB）來實現(xiàn)SSL解密從而實現(xiàn)針對安全工具的SSL卸載。許多企業(yè)機構利用網(wǎng)絡數(shù)據(jù)包中轉設備匯聚網(wǎng)絡流量、識別相關數(shù)據(jù)包并將其高速分發(fā)給安全工具。使用硬件加速的網(wǎng)絡數(shù)據(jù)包中轉設備可以在零丟包的情況下以線速處理流量，并實現(xiàn)自動化負載均衡。另外，它們無需多種串聯(lián)設備來進行各自獨立的解密/再加密。擴展網(wǎng)絡數(shù)據(jù)包中轉設備的成本低于擴展大部分安全設備的成本，并可以提供快速的投資回報。