SSL-Prüfung mit Cisco ASA mit FirePOWER
Fünf Gründe für das Off-Load der SSL-Entschlüsselung
Geschickte Bedrohungsakteure verstecken jetzt Cyberangriffe in SSL-verschlüsseltem Datenverkehr. So entgehen sie nicht nur der Entdeckung eingehender Daten, sondern können auch ausgehende Aktivitäten bei der Datenexfiltration leichter verbergen. Und das stellt Sicherheitsteams in allen Branchen vor große Herausforderungen.
Grundlagen der SSL-Prüfung
Bis Ende 2016 werden 67 Prozent des Internets verschlüsselt sein. Beliebte Websites (z. B. Google, Facebook) machen die SSL-Verschlüsselung inzwischen zum Standard. Google stuft Websites, die HTTPS verwenden, in seinen Suchalgorithmen sogar höher ein. Da immer mehr Internetverkehr verschlüsselt wird, werden Angriffe, die sich im SSL-Datenverkehr verstecken, immer beliebter und raffinierter.
In einer Studie mit dem Titel " Hidden Threats in Encrypted Traffic: A Study of North America & EMEA" fand das Ponemon Institute heraus, dass von über 1.000 Befragten 80 Prozent in den letzten 12 Monaten Opfer mindestens eines Cyberangriffs waren, von denen 40 Prozent die SSL-Verschlüsselung zur Umgehung der Sicherheit nutzten.
Eine bewährte Methode, um diese Angriffe zu stoppen, ist die SSL-Entschlüsselung und -Inspektion. Auf einer grundlegenden Ebene werden Ihr Netzwerk und Ihre Sicherheitsanwendungen:
- Entschlüsselung des eingehenden und/oder ausgehenden Datenverkehrs
- Senden Sie den entschlüsselten Datenverkehr zur Überprüfung und Schadensbegrenzung an eine Sicherheitsanwendung,
- Den Datenverkehr neu verschlüsseln
- Senden Sie die sicheren Daten an ihren endgültigen Endpunkt
Der Hauptgrund (61 Prozent), warum ihre Unternehmen keine angemessene SSL-Entschlüsselung implementiert haben? Bedenken über Leistungseinbußen, fand Ponemon heraus.
SSL-Entschlüsselung auslagern
Die Implementierung dieser Technik in Ihrer Appliance ist jedoch prozessorintensiv und führt wahrscheinlich zu einer Leistungsverschlechterung. Ein Unternehmen kann diese Probleme vermeiden, indem es die SSL-Entschlüsselung auf eine spezielle Appliance auslagert. Nehmen wir
Nehmen wir z. B. Cisco ASA und FirePOWER. Als vertrauenswürdige Next-Generation-Firewall (NGFW) und Sicherheitsservice kann diese Lösung bis zu 99,4 Prozent der Eindringlinge und 99,2 Prozent der fortgeschrittenen Malware-Angriffe abwehren.
Obwohl sie in kleineren Einsatzszenarien eine integrierte SSL-Entschlüsselung durchführen kann, ist dies nicht ratsam, wenn Organisationen regionale, nationale oder globale Unternehmensnetzwerke skalieren. Durch die Integration von Cisco ASA mit FirePOWER mit einer SSL-Entschlüsselungslösung für Unternehmen - wie z. B. A10 Thunder SSLi- können Unternehmen jedoch die Sicherheit erhöhen, ohne die Leistung zu beeinträchtigen. Dieses Video erklärt, warum SSL-Offload die beste Strategie ist.
Fünf Gründe für die Auslagerung der SSL-Entschlüsselung
Wie wir wissen, ist jedes Einsatzszenario anders. Für die meisten Unternehmen ist es jedoch die beste Praxis, die SSL-Entschlüsselung und -Wiederverschlüsselung auf dedizierte, hochleistungsfähige Lösungen zu verlagern. Zu den wichtigsten Vorteilen dieses Ansatzes gehören:
- Dedizierte Verarbeitung für höhere Leistung
- Legen Sie kundenspezifische Richtlinien fest, um zu bestimmen, welcher Datenverkehr entschlüsselt werden soll und welcher nicht (z. B. Daten im Zusammenhang mit der Einhaltung von PCI oder HIPAA)
- Erhöhen Sie die Kapazität und Skalierbarkeit mit unternehmensgerechtem Lastausgleich
- Schnelles Entschlüsseln und Wiederverschlüsseln von SSL-Datenverkehr mit langen Chiffren oder langen Schlüssellängen
- Integration mit führenden Sicherheitsanwendungen für maximale Flexibilität des Anbieters
Weitere Informationen zur SSL-Entschlüsselung und -Inspektion mit Cisco ASA mit FirePOWER finden Sie in der ausführlichen Lösungsübersicht.