Verschlüsselung: Was Sie nicht sehen können, kann Ihnen schaden
Die SSL-Verschlüsselung ist für Unternehmen ein zweischneidiges Schwert. Sie erhöht die Sicherheit, indem sie Vertraulichkeit und Nachrichtenintegrität gewährleistet. Sie ermöglicht es den Benutzern, die Identität der Anwendungseigentümer zu überprüfen, und sie erlaubt es den Anwendungen, die Benutzer mit Client-Zertifikaten zu authentifizieren. Da Bedrohungen wie Schnüffelei, Phishing und Datendiebstahl weiter zunehmen, ist die Verschlüsselung zu einem wichtigen Mittel zum Schutz von Benutzern und Daten geworden.
Aber die Verschlüsselung stellt auch ein Risiko für Unternehmen dar. Hacker nutzen die Verschlüsselung, um ihre Angriffe vor Sicherheitsgeräten wie Firewalls, Intrusion-Prevention-Systemen, forensischen Lösungen und anderen zu verbergen, die mit den steigenden Anforderungen an die SSL-Entschlüsselung nicht Schritt halten können oder die aufgrund ihrer Position im Netzwerk den SSL-Datenverkehr überhaupt nicht entschlüsseln können.
Wie ernst ist die Bedrohung? Laut einer aktuellen Gartner-Umfrage "entschlüsseln weniger als 20 % der Unternehmen, die über eine Firewall, ein Intrusion Prevention System (IPS) oder eine Unified Threat Management (UTM)-Anwendung verfügen, den ein- oder ausgehenden SSL-Datenverkehr"[1], was bedeutet, dass Hacker über 80 % der Netzwerkverteidigung von Unternehmen umgehen können, indem sie Angriffe einfach durch verschlüsselten Datenverkehr tunneln.
SSL-Nutzung auf dem Vormarsch
Um das Risiko des Ausspähens und des Diebstahls zu verringern, verschlüsseln immer mehr Anwendungen Daten mit SSL oder dem Nachfolger von SSL, Transport Layer Security(TLS). Die Verwendung von SSL ist inzwischen allgegenwärtig, und viele führende Websites verschlüsseln inzwischen jede Webanfrage und -antwort. Tatsächlich nutzen 2014 48 % mehr der Millionen beliebtesten Websites SSL als ein Jahr zuvor[2].
Die Umstellung von 1024- auf 2048-Bit-SSL-Schlüssellängen in Verbindung mit dem wachsenden Bedarf an SSL-Bandbreite hat jedoch die Sicherheitsgeräte belastet, die den SSL-Datenverkehr entschlüsseln. Die Auswirkungen der Entschlüsselung auf die Sicherheitsgeräte sind verblüffend. Eine Analyse von NSS Labs zeigt, dass 2048-Bit-SSL-Schlüssel bei sieben führenden Firewalls der nächsten Generation einen durchschnittlichen Leistungsverlust von 81 % verursachen"[3].
Hochgeschwindigkeits-SSL-Entschlüsselung mit SSL Insight
Um Unternehmen bei der Entschlüsselung und Überprüfung des SSL-Datenverkehrs zu unterstützen, ohne die Netzwerkleistung zu beeinträchtigen, hat A10 SSL Insight eingeführt. SSL Insight ist eine Funktion des A10 Thunder Application Deliver Controller (ADC) und ermöglicht es Sicherheitsgeräten von Drittanbietern, verschlüsselten Datenverkehr zu prüfen. Mit SSL Insight können Unternehmen den blinden Fleck beseitigen, den die SSL-Verschlüsselung verursacht.
URL-Klassifizierung für SSL Insight, um vertrauenswürdige Daten verschlüsselt zu halten
Am5. August kündigte A10 mehrere Erweiterungen für SSL Insight an. Diese Erweiterungen, die in ACOS Version 4.0 P1 verfügbar sein werden, umfassen:
- Verbesserungen bei URL-Bypass-Listen - SSL Insight wird mehrere manuell definierte Bypass-Listen unterstützen, so dass verschiedene Administratoren Bypass-Listen separat verwalten und aktualisieren können. Darüber hinaus können Bypass-Listen auf ausgewählten ADC-Modellen von Thunder auf bis zu eine Million Server Name Indication (SNI)-Werte skaliert werden. Mithilfe von Bypass-Listen kann SSL Insight so konfiguriert werden, dass bestimmte Arten von Datenverkehr ignoriert werden, z. B. die Kommunikation mit Bank- und Gesundheitsanwendungen, um die Einhaltung von Vorschriften und den Datenschutz zu gewährleisten.
- URL-Klassifizierungsdienst zur selektiven Umgehung sensibler Anwendungen - Mit dem branchenweit ersten URL-Klassifizierungsdienst von A10 kann Thunder ADC den Datenverkehr zu über 460 Millionen Domains kategorisieren und ermöglicht es Unternehmen, den Datenverkehr auf der Grundlage der Website-Kategorie zu umgehen. Der URL-Klassifizierungsdienst stellt sicher, dass vertrauliche Daten verschlüsselt bleiben und hilft Unternehmen, die Compliance zu erfüllen. Der URL-Klassifizierungsdienst von A10, der von Webroot unterstützt wird, ist im Rahmen eines Jahresabonnements erhältlich.
- Entschlüsselung von SMTP- und XMPP-Datenverkehr - Zusätzlich zum HTTPS-Datenverkehr wird SSL Insight in der Lage sein, E-Mail- und XMPP-Datenverkehr (Extensible Messaging and Presence Protocol) zu entschlüsseln.
- Erkennung von Client-Zertifikaten und optionale Umgehung - Wenn SSL Insight Datenverkehr erkennt, der durch Client- und Server-Zertifikate verschlüsselt ist (manchmal als gegenseitige oder Zwei-Wege-Authentifizierung bezeichnet), kann SSL Insight so konfiguriert werden, dass der Datenverkehr blockiert oder ungeprüft durchgelassen wird.
- Umgang mit nicht vertrauenswürdigen Zertifikaten - SSL Insight ist in der Lage, Kunden auf eine Fehlerseite umzuleiten oder verschlüsselten Datenverkehr mit einem nicht vertrauenswürdigen Zertifikat zu beenden, um Standard-Browser-Fehlermeldungen zu erhalten.
SSL Insight ist im Lieferumfang von Thunder ADC enthalten, ohne zusätzliche Kosten. Die All-inclusive-Funktionslizenzierung von A10 stellt sicher, dass jede Thunder ADC-Appliance jede Funktion zu jedem beliebigen Zeitpunkt unterstützen kann, was für Sicherheit und maximale Betriebszeit sorgt.
Weitere Informationen zu diesen neuen Funktionen finden Sie in der A10-Pressemitteilung oder in unserer gemeinsamen Pressemitteilung mit Webroot.
Weitere Informationen über die SSL Insight-Technologie von A10 finden Sie auch in unserem SSL Insight Solution Brief. Und bleiben Sie dran für weitere SSL Insight-Ankündigungen in den kommenden Wochen.
[1] Gartner, Security Leaders Must Address Threats From Rising SSL Traffic, Dezember 2013
[2] Netcraft, Januar 2014 Web Server Survey
[3] NSS Labs, SSL Performance Problems, Juni 2013
Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.