目前国内很多网站已经开始向SSL全站加密迈进,但在SSL部署过程中,流量的加解密面临重大挑战。
为了帮助用户更好地理解SSL并解决SSL部署难题,10月25日,F5举办了多层级DDoS防护系列讲座(一):SSL无处不在的在线培训,与1290多名用户在线进行了长达1个小时的深度交流,为用户详细讲解F5作为SSL解密的一个战略控制点,如何帮助企业搭建可扩展、可编程的安全架构。
在今天的推送中,小编为大家还原了当天培训的部分精彩内容。如需收听完整的培训录音,可直接下拉到最后,点击“阅读原文”,前往F5千聊直播间开听。
以下为培训当天部分精彩内容
今天分享的主题是我们已经很熟悉的SSL。SSL无处不在这个概念在近一年左右的时间提得非常的多,这也反应了目前整个行业、用户、以及科技领域对安全方面的重视。
现在很多网站已经使用了SSL,那么市场上有哪些因素驱动我们把SSL部署到各个领域去?
大家首先想到的可能是斯诺登事件。斯诺登事件之后,大家对安全的关注度空前地高,很多用户会担心他们在访问互联网时,他的隐私、个人信息会被泄露;
除了类似斯诺登这样的事件外,另一方面,技术往往也在驱动着我们整个行业的上行。除此以外,对法律法规方面的遵循也在驱动SSL的部署。特别是一些金融类的网站,法律法规都会要求网站满足一些设定的条件条款,其中SSL加密就是非常重要的一条。
最后,还有一个驱动因素是我们个人更希望去访问一个加密的网站,或者说一个受保护的网络。我们会认为这些网站会更安全。近两年的315晚会一直在向大家宣传免费wifi热点的不安全性。而如果我们在公共场所使用wifi访问一个受保护的网站的时候,那么相对来说要安全的。所以从用户个人以及市场的角度来看,这也是一个非常重要的因素来驱动我们向SSL衍变的一个动力。
今天整个世界有25%到30%的流量是通过SSL加密的。根据预测,大约到2017年,预期会有70%的流量会通过SSL加密。从整个趋势来看,SSL的发展是非常快,整个行业对SSL的重视度非常高。
有统计指出,到了2017年,大约有50%的安全***,会通过SSL通道进行。那么这就带来了一个非常严重的问题,那就是,如果***都隐藏于SSL加密的通道,那么传统的很多安全设备将会面临一个很严重的挑战。
所以,SSL加密是一把双刃剑,对我们个人安全来说,它是非常重要的,但是对于企业的管控以及安全方面的探查是一个挑战。
SSL技术发展迅速,特别是随着物联网的发展,SSL加密趋势将越来越快。在物联网世界,用户在使用各种智能设备时,他们希望通过一个安全的通道,使用一个安全的链接来进行数据交换。
目前国内很多的网站、企业已经开始向全站SSL迈进。一些成立时间已经非常长的网站,譬如说像落伍者论坛,已经使用了全站SSL。而从行业分布来看,目前国内采用全站SSL加密的主要还是一些大型电商以及互联网技术使用率高的网站。
在整个互联网上面,能够帮助我们实现SSL整站流量加密的基础环境是有的,所以我们应该实时地去拥抱SSL。
我们刚才分享了SSL的趋势,那么到底什么是SSL无处不在?实际上,我们引用“零信任区域”的概念可能会更好说明。就是说,对互联网上的所有流量,我们理所当然的认为,所有流量都是加密的受保护的,那么这样的话,它才有可能是一个安全的网络环境。那么我们说的SSL everywhere目标,其实就是要实现整个流量的加密保护。
F5 SSL无处不在解决方案主要有两个方向,第一是入站方向,第二个是出站方向。这两个方向所使用的技术以及所解决的用户需求场景是不同的。下面我们具体看一看,在入站和出站这两个方向上,F5 SSL解决方案是什么样子的?
部署SSL,在入站方向上还是有很大挑战的,尤其是当服务器数量很大的时候。而如果我们能够将SSL向前推移到一个集中的控制点,那么事情就会变得简单一些。如果我们能够在,比如说像F5 LTM这样的一个集中控制点上进行部署,那这个时候我们就可以不关心,或者说我们就可以忽略掉异构平台的区别,而只关心在LTM这个集中控制点上如何去部署SSL证书,那么事情就相对变得简单一些。
刚才我们介绍了在入站方向上的一种解决方案。但事实上,无论是在入站还是出站方向上,加密技术同时带来了一个非常大的一个问题。
如果我们整个流量全部SSL加密了,那么我们购买的一些传统安全设备就会出现一个盲点。而我们就需要在这些安全设备上进行SSL的解密,否则的话,我们就没办法发挥这些安全设备的功能。但是在这些安全设备上进行SSL解密,一般来说会耗费比较大的性能的开销。
所以对于传统设备来说,流量还是一个非常大的挑战。如何去帮助我们保护我们传统的一些安全产品的投资,使得我们的这些投资既可以发挥它原有的功能,而且不损耗性能?这是我们在SSL加密之后需要考虑的。
下面我们来看一下,SSL流量加密之后,传统结构会变成什么样。
在这里我们先不讨论东西向或者是南北向的问题,在传统结构下,我们购买的防火墙类的设备,在经过加密的SSL流量之后,这些设备将无法看到SSL流量里面的东西。那么这就给了***者一个通道,他可以将***放入SSL流量里面,来避开传统设备的安全检查。
随着业务的发展,基于性能扩容或功能增强等需求,企业将不断的购买各种各样的安全设备。那么这些新设备如果也需要做SSL解密的话,这就会变成一件很麻烦的事情。那么,如何提供一个更好的可扩展的架构,这也是我们需要去考虑的。
了解F5产品的朋友们都知道,F5的产品包含了很多的功能模块,提供了很完美的一个安全性的考虑。在F5平台基础上,F5本身作为SSL解密的一个战略控制点,插入了很多的安全模块。这种情况下,有别于我们前两页ppt所讲的,我们就不太需要去考虑如何在各种安全设备上解密,而是统一的使用F5去进行流量解密,然后通过内部通讯技术,将相应的数据交付相应的模块进行安全处理。
F5在入向SSL加解密方面的优势主要在于:提供高性能的运营平台,同时提供了一个可扩展的架构,可以轻松扩展传统硬件设备以及硬件的安全结构。另外一方面,F5提供了一个可扩展的可编程的制度,使得我们可以充分的在数据通道上面去控制数据流量。
下面我们来具体看一下,F5在入向和出向方面对应的SSL解决方案内容。