Anpassen der SSL-Entschlüsselung, Wahrung der Privatsphäre der Benutzer und Einhaltung von Vorschriften
Dezember 6, 2019
In diesem Video erklärt Mubeen Alam, Technischer Produktmanager von A10 Networks , welche Bedenken die Benutzer hinsichtlich des Datenschutzes und der Einhaltung von Vorschriften haben, wenn es um die Entschlüsselung ihres Netzwerkverkehrs geht, und wie diese Bedenken mit einer Entschlüsselungslösung wie SSL Insight von A10 ausgeräumt werden können.
Transkription
Abschrift
Wie Sie wissen, ist die TLS/SSL-Entschlüsselung und -Inspektion heute besonders wichtig, da mehr als 80 % des Datenverkehrs mit SSL verschlüsselt wird. Ohne TLS/SSL-Entschlüsselung werden alle Sicherheitsgeräte, die Sie hier sehen, wie IDS, Next-Gen-Firewalls, DLP oder Antiviren-Appliances, von Malware oder Bedrohungen, die sich im verschlüsselten Datenverkehr verstecken, überrumpelt. Oftmals haben Sicherheitsverantwortliche jedoch Bedenken, den Datenverkehr zu entschlüsseln.
Zum Beispiel sind sie oft besorgt, ob sie durch die Entschlüsselung des Datenverkehrs die Privatsphäre der Nutzer oder andere für ihr Land geltende Gesetze verletzen.
Deshalb werde ich heute versuchen, auf all diese Bedenken einzugehen und zu erklären, wie wir sie mit einer guten TLS/SSL-Entschlüsselungslösung ausräumen können.
In erster Linie geht es also um die Einhaltung der Vorschriften. Die Leute denken oft, dass sie, wenn sie anfangen, den Datenverkehr zu entschlüsseln, in der Lage sein könnten, den Finanz- und Bankverkehr der Benutzer oder den Datenverkehr im Gesundheitswesen und den Klartextverkehr zu sehen. Und deshalb könnten sie gegen die Sox- oder HIPAA-Compliance verstoßen.
Und selbst wenn diese Gesetze in ihrem Land nicht anwendbar sind, verletzen sie möglicherweise die Privatsphäre der Nutzer, da sie nun auch Kreditkartennummern oder Kennwörter im Klartextverkehr sehen können. Der Schutz der Privatsphäre ist also auch in diesen Szenarien ein großes Anliegen. Abgesehen davon ist es oft nicht erwünscht, den Datenverkehr von Führungskräften wie dem CEO, CFO usw. zu entschlüsseln.
Sie wollen diesen Verkehr also nicht anfassen. Wie gehen Sie also damit um?
Darüber hinaus gibt es jetzt eine Vielzahl von benutzerdefinierten Anwendungen, die auf Ihren Mobiltelefonen verfügbar sind und auf die Sie über Ihre mobilen Geräte zugreifen können. Diese Apps enthalten oft eine Kopie des Serverzertifikats. Wenn also ein Gerät versucht, diesen Datenverkehr zu entschlüsseln, schlägt die Verbindung meistens fehl.
Wie gehen Sie also mit diesen benutzerdefinierten Anwendungen um? Wie stellen Sie sicher, dass die Nutzer diese weiterhin nutzen?
Neben der TLS/SSL-Entschlüsselung gibt es heute auch ein enormes Wachstum bei SaaS-Anwendungen. Ein gutes Beispiel dafür ist der Office-365-Datenverkehr, denn mit Office 365 können die Nutzer in Echtzeit zusammenarbeiten. Daher reagiert er sehr empfindlich auf jegliche Art von Verzögerungen, die durch Ihr Netzwerk verursacht werden.
Außerdem ist sie auf viele kleinere Verbindungen angewiesen. Wie gehen Sie also mit diesem Datenverkehr um? Wenn Sie anfangen, den Verkehr zu entschlüsseln und ein weiteres Gerät und Ihren Netzwerksicherheits-Stack einführen?
Das nächste Problem ist die Zuverlässigkeit. Wenn Sie nun also den Datenverkehr entschlüsseln, wie zuverlässig ist dann Ihre Lösung? Ist sie wirklich in der Lage, den schlechten Datenverkehr zu identifizieren? Oder ist sie in der Lage, ein Zertifikat eines entfernten Servers zu validieren, z. B. ob das Zertifikat wirklich zu einer Domäne passt, die Sie umgehen oder überprüfen wollen. Die Zuverlässigkeit ist also ein wichtiger Faktor bei dieser Entscheidung. Und dann ist da noch die Frage der Benutzerzufriedenheit.
Es kommt darauf an, wie Ihre Benutzer Ihre endgültige Sicherheitslösung wahrnehmen werden. Verlangsamt sie wirklich Ihr Netzwerk oder führt sie einen neuen Flaschenhals ein?
Beschweren sich Ihre Benutzer oft darüber, dass sie keinen Zugang zu bestimmten Ressourcen haben? Wie stellen Sie dann sicher, dass die Zufriedenheit Ihrer Benutzer nicht durch eine solche Lösung beeinträchtigt wird?
Hier kann Ihnen also eine gute TLS/SSL-Entschlüsselungslösung wie A10 Networks SSL Insight wirklich helfen.
Mit A10 SSL Insight geben wir Ihnen die volle Kontrolle über Compliance-Standards wie Sox oder HIPAA und alle anderen Compliance-Standards durch unsere leistungsstarke Web-Kategorisierungsfunktion.
Mit der Web-Kategorisierung können wir mehr als 80 Domains in Echtzeit und auch mit den Cloud-Lookups kategorisieren. Und mit dieser Web-Kategorisierung können Sie nicht nur den Gesundheits- und Finanzverkehr umgehen, sondern auch jeden anderen Verkehr, der nicht Ihren Richtlinien entspricht, umgehen oder blockieren.
Wir können auch das Problem des Datenschutzes angehen, indem wir sensible Informationen wie Kreditkarten und Benutzerpasswörter verbergen.
Durch die Integration mit dem Active-Directory-Server können Sie außerdem kontrollieren, wie der Datenverkehr Ihrer Führungskräfte gehandhabt wird.
Hier können Sie alle Benutzer-IDs und Gruppen-IDs integrieren und diese auf Ihre Entschlüsselungsrichtlinie anwenden und weiterleiten. Für benutzerdefinierte Anwendungen können wir Ihnen eine Liste von häufig verwendeten Anwendungen zur Verfügung stellen, die bekanntermaßen Probleme mit Zertifikaten und Pinning haben, und Sie können diesen Datenverkehr umgehen.
Das ist also die einzige Lösung, die es für solche Anwendungen gibt.
Für SaaS-Anwendungen wie Office 365 gibt Ihnen A10 Networks SSL Insight Site eine sehr gute Kontrolle über alle Domänen und Klassendomänen und IP-Adressen, die von Microsoft stammen, und diese Domänen und IP-Adressen werden regelmäßig aktualisiert.
Und mit dieser aktualisierten Liste können Sie den Datenverkehr von Office 365 oder anderen SaaS-Anwendungen zuverlässig umgehen.
Im Hinblick auf die Zuverlässigkeit kann SSL Insight Ihr Serverzertifikat anhand Ihres Client-SMI validieren und Sie können sicherstellen, dass das Zertifikat des Remote-Servers, das Sie umgehen oder entschlüsseln, tatsächlich das Serverzertifikat ist, das zu diesem Server gehört, und dass es nicht von jemandem gefälscht wurde.
Und schließlich bietet SSL Insight einige der leistungsstärksten Geräte in der Branche.
Mit unserem leistungsstärksten Gerät können Sie bis zu 25 Gigabyte auf einem einzigen Gerät entschlüsseln, und wir können auch eine Scale-Out-Architektur anbieten.
Darüber hinaus können Sie SSL Insight auch stufenweise einsetzen, d. h. Sie können mit einer kleinen Teilmenge Ihrer Benutzer beginnen.
Sie können sie durch die SSL Insight-Lösung leiten, und sobald der Datenverkehr entschlüsselt ist und sich stabilisiert hat, können Sie nach und nach weitere Nutzer einbinden und einen rationalisierten Ansatz verfolgen, bei dem nicht alle Nutzer auf einmal betroffen sind. Wir können auch automatisch jeden Datenverkehr umgehen, der nicht mit dem Remote-Server verhandeln kann.
Wenn es zum Beispiel eine neue Chiffre gibt, die wir nicht unterstützen, können wir diese automatisch für Sie umgehen und Ihnen ein Protokoll geben.
