Kas ir SSL/TLS atšifrēšana?
SSL atšifrēšana, kas pazīstama arī kā SSL/TLS atšifrēšana, attiecas uz drošligzdu slāņa (SSL) vai transporta slāņa drošības (TLS) šifrētas tīkla trafika pārtveršanas un atšifrēšanas procesu. SSL/TLS ir plaši izmantots šifrēšanas protokols, kas nodrošina datu pārraidi datortīklos, piemēram, internetā.
SSL atšifrēšanu parasti veic drošības ierīces, piemēram, ugunsmūri, ielaušanās novēršanas sistēmas (IPS) vai īpašas SSL atšifrēšanas ierīces. Šīs ierīces ir stratēģiski izvietotas tīklā, lai drošības nolūkos pārbaudītu šifrētu trafiku. Galvenais mērķis ir analizēt šifrētos datus, lai noteiktu iespējamos draudus, ļaunprātīgu programmatūru vai nesankcionētas darbības.
Lai veiktu SSL atšifrēšanu, drošības ierīce darbojas kā starpnieks starp klientu (piemēram, tīmekļa pārlūkprogrammu) un serveri. Kad klients uzsāk SSL/TLS savienojumu ar serveri, drošības ierīce pārtver šifrēto trafiku un izveido divus atsevišķus SSL/TLS savienojumus — vienu ar klientu un otru ar serveri.
Pēc tam drošības ierīce atšifrē trafiku no klienta, pārbauda atšifrēto saturu un piemēro drošības politikas, lai identificētu jebkādas ļaunprātīgas vai aizdomīgas darbības. Tā var arī veikt tādus uzdevumus kā datu zuduma novēršana, satura filtrēšana vai ļaunprātīgas programmatūras noteikšana atšifrētajiem datiem. Kad trafiks ir analizēts, drošības ierīce to atkārtoti šifrē, izmantojot jaunu SSL/TLS sertifikātu, un pārsūta to uz serveri.
Ir svarīgi ņemt vērā, ka SSL atšifrēšana rada bažas par privātumu un drošību. Tā kā drošības ierīcei ir piekļuve atšifrētajiem datiem, tā var skatīt sensitīvu informāciju, piemēram, lietotājvārdus, paroles, kredītkaršu informāciju vai citus tīklā pārsūtītus konfidenciālus datus. Tāpēc SSL atšifrēšana parasti tiek ieviesta kontrolētā un drošā vidē, lai nodrošinātu pārtverto datu privātumu un integritāti.
SSL atšifrēšanai ir trīs izplatīti režīmi, tie ir:
- Pasīvais režīms
- Ienākošais režīms
- Izejošais režīms
Bet kāda ir atšķirība starp trim SSL atšifrēšanas režīmiem?
| Režīms | Pasīvais režīms | Ienākošais režīms | Izejošais režīms |
| Apraksts | Vienkārši pārsūta SSL/TLS trafiku bez atšifrēšanas vai modifikācijas. | Atšifrē klientu pieprasījumus, analizē un piemēro drošības politikas, pēc tam pārsūta pieprasījumus uz serveri. | Atšifrē servera atbildes, analizē un piemēro drošības politikas, pēc tam pārsūta atbildes klientam. |
| Satiksmes plūsma | Divvirzienu | Klients uz serveri | Serveris klientam |
| Ierīces loma | Novērotājs | Cilvēks vidū | Cilvēks vidū |
| Atšifrēšanas vieta | Nav atšifrēšanas | Atšifrē tīkla perimetrā (parasti servera priekšā). | Atšifrē tīkla perimetrā (parasti klienta priekšā). |
| Satiksmes redzamība | Tikai šifrēta trafika | Atšifrēti klientu pieprasījumi | Atšifrētas servera atbildes |
| Satiksmes izmaiņas | Nav modifikāciju | Var mainīt trafiku analīzes vai drošības nolūkos. | Var mainīt trafiku analīzes vai drošības nolūkos. |
| SSL sertifikāts | Nav nepieciešama privātā atslēga vai sertifikāts | Nepieciešama privātā atslēga un sertifikāts serverim, kas tiek pārtverts | Nepieciešama privātā atslēga un sertifikāts klientam, kas tiek pārtverts |
| Drošības kontrole | Ierobežota kontrole, jo tā nevar pārbaudīt vai modificēt šifrētu trafiku | Var pārbaudīt un lietot drošības politikas klientu pieprasījumiem pirms servera sasniegšanas | Var pārbaudīt un lietot drošības politikas servera atbildēm, pirms sasniedzat klientu |
| Privātuma bažas | Nepiekļūst šifrētiem datiem un neanalizē tos | Ir piekļuve atšifrētiem klientu pieprasījumiem, radot bažas par privātumu | Ir piekļuve atšifrētajām servera atbildēm, radot bažas par privātumu |
| Atbilstības apsvērumi | Minimāla ietekme uz privātumu un atbilstību | Var būt nepieciešama datu konfidencialitātes noteikumu ievērošana | Var būt nepieciešama datu konfidencialitātes noteikumu ievērošana |
Salīdzinot ar drošas piegādes platformas sērijveida atšifrēšanu, tradicionālajai sērijas atšifrēšanas tehnoloģijai ir ierobežojumi.
Ugunsmūri un tīkla drošības vārtejas, kas atšifrē SSL/TLS trafiku, bieži vien nespēj nosūtīt atšifrētu trafiku citiem uzraudzības un drošības rīkiem. Līdzīgi, slodzes līdzsvarošana novērš SSL/TLS trafiku un lieliski sadala slodzi starp serveriem, taču tai neizdodas sadalīt trafiku vairākiem ķēdes drošības rīkiem pirms tā atkārtotas šifrēšanas. Visbeidzot, šiem risinājumiem nav kontroles pār trafika atlasi, un tie izplatīs nešifrētu trafiku ar vadu ātrumu, parasti visu trafiku nosūtot uz atšifrēšanas dzinēju, radot veiktspējas problēmas.
Izmantojot Mylinking™ SSL atšifrēšanu, varat atrisināt šādas problēmas:
1. Uzlabojiet esošos drošības rīkus, centralizējot un izkraujot SSL atšifrēšanu un atkārtotu šifrēšanu;
2. Atklājiet slēptos draudus, datu pārkāpumus un ļaunprātīgu programmatūru;
3. Ievērojiet datu privātuma atbilstību uz politiku balstītām selektīvās atšifrēšanas metodēm;
4 Pakalpojumu ķēdes vairākas trafika informācijas lietojumprogrammas, piemēram, pakešu sadalīšana, maskēšana, dublēšanās un adaptīvā sesiju filtrēšana utt.
5- Ietekmējiet tīkla veiktspēju un veiciet atbilstošus pielāgojumus, lai nodrošinātu līdzsvaru starp drošību un veiktspēju.
Šīs ir dažas no galvenajām SSL atšifrēšanas lietojumprogrammām tīkla pakešu brokeros. Atšifrējot SSL/TLS trafiku, NPB uzlabo drošības un uzraudzības rīku redzamību un efektivitāti, nodrošinot visaptverošas tīkla aizsardzības un veiktspējas uzraudzības iespējas. SSL atšifrēšana tīkla pakešu brokeros (NPB) ietver piekļuvi šifrētai trafikam un tās atšifrēšanu pārbaudei un analīzei. Ļoti svarīgi ir nodrošināt atšifrētās datplūsmas privātumu un drošību. Ir svarīgi atzīmēt, ka organizācijām, kas izvieto SSL atšifrēšanu NPB, ir jābūt skaidrām politikām un procedūrām, lai regulētu atšifrētās trafika izmantošanu, tostarp piekļuves kontroles, datu apstrādes un saglabāšanas politikas. Atbilstība piemērojamajām juridiskajām un normatīvajām prasībām ir būtiska, lai nodrošinātu atšifrētās datplūsmas privātumu un drošību.
Publicēšanas laiks: 04.09.2023
