SSL/TLS加密协议是为保护敏感数据在传输过程中的安全性、保密性、完整性、不可抵赖性而设置的加密技术。尽管该协议旨在提高数据传输过程中的安全可靠能力,但攻击者有时会利用它来隐藏恶意攻击流量,从而违背了该协议的设计初衷。
在现网中,通常采用提前在安全防护/分析类设备上导入SSL证书和私钥的方式,赋予它们解密加密数据为明文的能力。不过,这种方法存在局限性:当数据使用具备前向安全特性的加密套件进行加密时,这些安全设备可能无法有效解密,从而限制了它们的分析能力,让攻击流量有机可乘。具体原因如下:
前向安全性
在SSL/TLS握手及密钥协商阶段,若采用支持前向安全性的密钥交换算法,服务端会为每一段SSL会话生成一对唯一的、临时的、随机的公私钥对。服务端将公钥通过SSL通道传递给客户端,而私钥则仅在服务端本地保留,并在会话结束后自动销毁。这种机制确保了无论是安全设备还是恶意攻击者,都无法仅通过导入SSL证书和私钥来解密加密流量。只有实际参与到SSL握手过程中的代理模式设备,才能够解密这些流量。
具备前向安全性的加密套件如下:
1
国密协议中:
ECDHE-SM2-SM4-SM3
2
TLS1.0/1.1/1.2协议中:
RSA公钥类型证书支持的算法:DHE_RSA、ECDHE_RSA
ECC公钥类型证书支持的算法:ECDHE_ECDSA
3
TLS1.3协议中:
选取的密钥交换算法均支持前向安全性,废除了不支持前向安全性的RSA和静态DH密钥交换算法
面向以上安全隐患,广西广电用户通过采用迪普科技的流量编排产品,针对现网中30余个关键的互联网业务系统,实现了对加密流量的100%全面解密,显著提升了网络安全防护效能,在2024年护网行动中,实现攻击流量100%全防护。
除此之外,迪普科技的流量编排产品还为广西广电用户带来其他的显著业务价值,具体表现在以下几个方面:
1
SSL证书集中管理
通过集中管理SSL证书和私钥,有效减少了业务系统中证书和私钥的暴露风险,降低了潜在的泄露风险。同时,这种集中管理方式也简化了证书变更时的运维工作,提高了运维效率。
2
安全设备性能提升
将加密流量解密为明文,并将这些明文流量共享给安全设备。安全设备可以直接对明文流量进行处理,无需消耗额外的性能资源进行解密操作,提高了安全设备的处理效率,避免因性能瓶颈导致的安全风险。
3
安全设备资源池化
打破传统安全设备糖葫芦串架构,安全设备旁挂在流量编排设备旁形成安全设备资源池,多厂商/同厂商安全设备异构兼容,并按照特定算法,实现均衡调度。
4
安全设备按需调度
对客户端请求类型以及请求的对应业务,进行多维度识别,特定的请求类型转发、镜像给特定的安全设备,形成特定的安全服务链自定义编排,避免无效流量处理,提高效率。
5
安全设备健康状态监测
通过应用层的探测手段,防止应用假死,状态异常的安全设备可自动下线,有效避免单点故障。当安全设备恢复正常后,可自动上线恢复。
6
安全设备变更灵活
安全资源按需动态调整,在线扩缩容,弹性伸缩无感知,无需寻找变更窗口期,运维排障成本有效降低。
流量编排设备作为一款创新产品,广西广电用户在初期使用时,充分考虑了对设备操作的熟悉度和业务迁移的平稳过渡。为此,他们首先利用流量编排产品的灵活组网能力,对一些边缘业务进行了测试和验证。在确认其稳定性和效果后,逐步将所有核心互联网业务纳入流量编排,实现了业务的全面优化和升级。这一策略既保证了业务的连续性,也确保了边缘到核心系统的顺利过渡。
在未来,迪普科技致力于通过不断地技术创新和产品研发,继续深化在网络安全及应用交付领域的专业能力,提供覆盖各个行业和场景的网络安全解决方案,帮助用户应对日益复杂的网络威胁,构建简单、智能、安全的网络环境。
END
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...