Written by SSL je zkratka, která se zažila pro dva kryptografické internetové protokoly – Transport Layer Security (TLS) a jeho předchůdce Security Sockets Layer (SSL). Účelem protokolu SSL je poskytovat zabezpečenou komunikaci prostřednictvím počítačové sítě, přičemž data šifrovaná pomocí SSL nyní představují naprostou většinu internetového provozu.
Secure Socket Layer (SSL) je běžně používaný protokol zabezpečující HTTP provoz na internetu. Pro šifrování komunikace mezi klientem a serverem a bezpečné zasílání zpráv po síti využívá SSL tzv. veřejné a soukromé klíče, díky kterým obě strany dokážou komunikaci rozluštit. Šifrování přenosu chrání citlivé informace, jako je například přihlašovací ID uživatele nebo číslo kreditní karty při platbách, před hackery a zločineckými organizacemi.
K čemu slouží SSL offloading
Pro internetové uživatele je dnes přenos dat přes šifrovanou http komunikaci naprostým standardem jak u webových stránek, tak u online aplikací. Problém však nastává u bezpečnostních zařízení, které mají internetový/síťový provoz kontrolovat.
Zdaleka ne všechna bezpečnostní řešení jsou totiž navržena tak, aby dokázala rozšifrovávat a znovu zašifrovávat přenos SSL při vysokých rychlostech. Druhotný výkonnostní problém nastává proto, že úlohy dešifrování a opětovného zašifrování se vykonávají zbytečně opakovaně na každém zařízení, které chce komunikaci zkontrolovat (firewall, IDS, DLP atp.).
Samotné šifrování a dešifrování síťového provozu je pro servery velmi náročná úloha na procesor. Zejména počáteční sestavení relace, ale i přechod na 2048bitové nebo vyšší klíče SSL. Při upgradu z 1024bitových na 2048bitové klíče se využití CPU obvykle zvyšuje 4-7krát. U 4096bitových klíčů narážejí některé serverové procesory na své limity. Odvětví rychle upgraduje na 2048bitové klíče; minimální délka klíče se změnila z 1024 na 2048 bitů. Certifikační autority (CA) již několik let neposkytují certifikáty s délkou klíče menší než 2048 bitů.
SSL offloading proto přebírá úlohu rozšifrování a opětovného zašifrování SSL komunikace na samostatné zařízení, což zvyšuje výkon aplikací – tedy zlepšuje uživatelskou zkušenost zákazníků nebo firemních uživatelů, kteří se k nim připojují.
Hrozby skryté v šifrovaném provozu
Aby podniky mohly předcházet kybernetickým útokům, potřebují kontrolovat, zda příchozí a odchozí provoz neobsahuje nějaké hrozby. Útočníci logicky využívají SSL komunikaci, respektive šifrování, aby se vyhnuli detekci. Pro představu jen Google ve svých službách registruje SSL provoz v 95 %. Organizace, které neprovádějí inspekci SSL komunikace, poskytují útočníkům otevřené dveře k infiltrování obranných systémů a usnadňují jim útok a případnou krádež dat.
Kontrola SSL/TLS
Inspekce SSL provozu poskytuje organizacím výkonné vyvažování zátěže, vysokou dostupnost a řešení pro dešifrování SSL. Pomocí inspekce SSL mohou organizace:
- Analyzovat všechna síťová data, včetně šifrovaných dat, aby zajistily úplnou ochranu před hrozbami
- Nasadit nejmodernější řešení pro kontrolu obsahu, aby potlačily kybernetické útoky
Jak může pomoci A10 Networks
Tradiční produkty pro zabezpečení sítě bohužel nebyly navržené pro kontrolu SSL provozu v takovém měřítku. Výsledkem je, že útočníci začali využívat šifrování, aby se vyhnuli bezpečnostní kontrole. A10 Networks pomáhá organizacím eliminovat toto potenciální slepé místo v obraně tím, že poskytuje dedikovanou inspekci SSL.
Application Delivery Controllery (ADC) mají vyhrazený výkonný hardware, který řídí zabezpečený provoz včetně nárazových špiček. Kromě vysokého počtu spojení za sekundu (CPS) zvládají bez problému pracovat s SSL certifikáty s 4096bitovými klíči. ADC musí být vysoce flexibilní, aby účinně splňoval tyto požadavky.
Na flexibilitě ADC rozhodně záleží, proto mají zařízení A10 Thunder integrované čipové sady ASIC vyhrazené pro funkce šifrování/dešifrování a procesory Nitrox spolu s odladěným operačním systémem ACOS.
Thunder SSLi díky tomu dokáže řídit vysoký počet souběžných zabezpečených spojení a obsluhovat velké množství SSL spojení za sekundu (počet nových http spojení během 1 sekundy). V důsledku tak může výrazně zlepšit výkon vašich kritických aplikací a služeb.
V prostředích, která vyžadují vyšší standardy šifrování, poskytují hardwarové akcelerační karty A10 Networks vysoký SSL výkon, díky čemuž jsou 4096bitové klíče dostupné a nákladově efektivní i pro produkční nasazení.
Autor: Mike Thompson, A10 Networks
Překlad, úpravy a aktualizace: Jan Mazal, VPGC
Zdroj: What is SSL offloading?