Security

safe_here
Forrás: cutepictures.co

Biztonság mindenütt

A biztonságos kommunikáció kezd alapvetéssé válni. Egyre több eszköz csatlakozik az internetre (akár egy babafigyelő is képes lehet erre), így évente mintegy 30 százalékkal több potenciális biztonságosan kommunikáló kliens kapcsolatát kell kezelnie a kiszolgálóknak. Ezt a folyamatot – az SSL/TLS protokollok használatának általános célú elterjedését és az így kialakult állapotot – nevezzük „SSL Everywhere”-jelenségnek.

Nagyjából egy évtizeddel ezelőtt még főként csak a pénzintézetek használtak biztonságos csatornát az internetes kommunikációjuk során, illetve rajtuk kívül néhány fejlesztő, akik a portáljaik bejelentkező oldalát látták el védelemmel a nagyobb biztonságérzet megteremtése érdekében.


Motivációk
Az egyik legerősebb mozgatórugó a felhasználók igénye. Sok sérülékenység került széles nyilvánosságra az utóbbi időben, amelyek az elavult titkosító technológiákkal / protokollokkal / cipherekkel kapcsolatosak, így az átlagemberek (biztonsággal korábban nem foglalkozó felhasználók) figyelme is ráfókuszált a témára. A felhasználók adataik és kommunikációjuk biztonságának garantálását az alkalmazások szolgáltatóitól várják, az ennek hiányából adódó veszteségért, kellemetlenségért őket teszik felelőssé.

A kiváltó okok másik nagyobb csoportja a különböző előírásoknak való megfelelés. Ilyen például a PCI DSS. Ezek a kötelmek előírják a biztonságos kommunikáció alkalmazását, sőt esetenként még konkrét részleteket is meghatározhatnak, mint például a Hardware Security Module (HSM) használatát. Ide tartoznak még az újonnan megjelenő (például a HTTP 2.0) protokollverziók, és a Google kereső rangsorolási algoritmusának módosítása is (a Google idéntől hátrébb rangsorolja a találati eredmények között a nem HTTPS protokoll használatával kommunikáló oldalakat).

Nem olyan egyszerű…
Azonban a biztonság megléte számos problémát vet fel. Először is a biztonság nem csak egy kapcsoló. Számos paramétert lehet és szükséges konfigurálni a megfelelő megbízhatóság elérése érdekében. Gondosan meg kell választanunk például a használt ciphereket (a gyenge ciphereket le kell tiltani), a támogatott protokollverziókat (például TLS 1.1 vagy 1.2) és titkosító algoritmusokat (pl. SHA-2). A legújabb funkciókat, mint a Perfect Forward Secrecy (PFS) vagy a HTTP Strict Transport Security (HSTS) támogatnunk kell és a teljes portálra be kell vezetnünk a titkosítást (nem elég csak a bejelentkező oldalt védenünk). Ezek meglétét a felhasználóink is könnyedén le tudják ellenőrizni online eszközök segítségével, így képet kapnak róla, hogy mennyire vesszük komolyan a biztonságot.

Ha meggyőződtünk róla, hogy kellően erős titkosítást használunk, akkor könnyen kifogyhatunk a rendelkezésre álló számítási kapacitásból. A legtöbb alkalmazásszerver nem képes nagy mennyiségű titkosítási műveletet kezelni. Márpedig, tekintve, hogy egy átlagos felhasználó több internet-képes eszközzel rendelkezik, ez a tény már önmagában is exponenciális növekedést eredményez a biztonságos kommunikációban.

Végül ne feledkezzünk meg a már korábban vásárolt határvédelmi eszközeinkről sem, például a következő generációs tűzfalakról (NGFW-ekről), IDS/IPS rendszerekről, kártevő elleni védelmi rendszerekről, forward proxy megoldásokról vagy a SIEM rendszerekről. Ezek jó része vagy egyáltalán nem képes kibontani a titkosított kommunikációt (így alkalmatlan azok vizsgálatára), vagy ha rájuk ültetjük ezt a szerepkört is, akkor életszerűtlen mértékben csökken az áteresztőképességük.

Van megoldás!

Az F5 referencia architektúrájának alkalmazásával képesek vagyunk a bejövő és kimenő kapcsolataink vizsgálatára, még ha azok teljesen titkosított kapcsolaton keresztül történnek is. Sőt! Az F5 megoldásaival együtt tudnak működni a meglévő határvédelmi eszközök (ICAP protokollon keresztül), így minden rendszer végezheti azt a feladatot, amihez ért, ami elsődlegesen az övé.

Az F5 SSL Everywhere referencia architektúrájának középpontjában az F5 egyedi SSL szoftver stack megoldása áll, amely minden F5 BIG-IP Local Traffic Manager (LTM) megoldásnak része. Segítségével biztosíthatjuk a teljes kommunikáció láthatóságát, ellenőrizhetőségét, a kapcsolat kezelésének programozhatóságát és ezáltal a teljes kommunikációs csatorna magas szintű biztonságát – mindezt úgy, hogy a meglévő infrastruktúra konfigurációján semmit sem szükséges változtatni.

Az F5 megoldásaival minden fentebb felsorolt probléma kezelhető és az említett funkcionalitások támogatottak. Nagy teljesítményű hardveres eszközeink dedikált titkosító lapkával szereltek, így az eszközök áteresztőképessége nem sérül.

Itt és itt tudhat meg többet az F5 SSL Everywhere referencia architektúrájáról. Az ITBN-en ebben a témában prezentált előadásunkat itt tekintheti meg. További kérdéseivel keresse e-mailben az F5 hazai disztribútorát, az ALEF Distribution HU-t.