SSL je skratka, ktorá sa zažila pre dva kryptografické internetové protokoly – Transport Layer Security (TLS) a jeho predchodca Security Sockets Layer (SSL). Účelom protokolu SSL je poskytovať zabezpečenú komunikáciu prostredníctvom počítačovej siete, pričom dáta šifrované pomocou SSL teraz predstavujú absolútnu väčšinu internetovej prevádzky.

Secure Socket Layer (SSL) je bežne používaný protokol zabezpečujúci HTTP prevádzku na internete. Pre šifrovanie komunikácie medzi klientom a serverom a bezpečné zasielanie správ po sieti využíva SSL tzv. verejné a súkromné kľúče, vďaka ktorým obe strany dokážu komunikáciu rozlúštiť. Šifrovanie prenosu chráni citlivé informácie, ako je napríklad prihlasovacie ID používateľa alebo číslo kreditnej karty pri platbách, pred hackermi a zločineckými organizáciami.

K čomu slúži SSL offloading

Pre internetových užívateľov je dnes prenos dát cez šifrovanú http komunikáciu absolútnym štandardom ako u webových stránok, tak u online aplikácií. Problém však nastáva pri bezpečnostných zariadení, ktoré majú internetovú/sieťovú prevádzku kontrolovať.

Zďaleka nie všetky bezpečnostné riešenia sú totiž navrhnuté tak, aby dokázali rozšifrovať a znovu zašifrovať prenos SSL pri vysokých rýchlostiach. Druhotný výkonnostný problém nastáva preto, že úlohy dešifrovania a opätovného zašifrovania sa vykonávajú zbytočne opakovane na každom zariadení, ktoré chce komunikáciu skontrolovať (firewall, IDS, DLP atp.).

Kontrola SSL prevádzky v dešifrovacej zóne s využitím A10 Thunder SSLi

Samotné šifrovanie a dešifrovanie sieťovej prevádzky je pre servery veľmi náročná úloha na procesor. Najmä počiatočné zostavenie relácie, ale aj prechod na 2048bitové alebo vyšší kľúče SSL. Pri upgrade z 1024bitových na 2048bitové kľúče sa využitie CPU zvyčajne zvyšuje 4-7krát. U 4096bitových kľúčov narážajú niektoré serverové procesory na svoje limity. Odvetvie rýchlo upgraduje na 2048bitové kľúče; minimálna dĺžka kľúča sa zmenila z 1024 na 2048 bitov. Certifikačnej autority (CA) už niekoľko rokov neposkytujú certifikáty s dĺžkou kľúča menšou ako 2048 bitov.

SSL offloading preto preberá úlohu rozšifrovania a opätovného zašifrovania SSL komunikácie na samostatné zariadenie, čo zvyšuje výkon aplikácií – teda zlepšuje používateľskú skúsenosť zákazníkov alebo firemných používateľov, ktorí sa k nim pripájajú.

Hrozby skryté v šifrovanej prevádzke

Aby podniky mohli predchádzať kybernetickým útokom, potrebujú kontrolovať, či prichádzajúca a odchádzajúca prevádzka neobsahuje nejaké hrozby. Útočníci logicky využívajú SSL komunikáciu, respektíve šifrovanie, aby sa vyhli detekcii. Pre predstavu len Google vo svojich službách registruje SSL prevádzku v 95 %. Organizácie, ktoré nevykonávajú inšpekciu SSL komunikácie, poskytujú útočníkom otvorené dvere k infiltrovaniu obranných systémov a uľahčujú im útok a prípadnú krádež dát.

Kontrola SSL/TLS

Inšpekcia SSL prevádzky poskytuje organizáciám výkonné vyvažovanie záťaže, vysokú dostupnosť a riešenie pre dešifrovanie SSL. Pomocou inšpekcie SSL môžu organizácie:

  • Analyzovať všetky sieťové dáta, vrátane šifrovaných dát, aby zabezpečili úplnú ochranu pred hrozbami
  • Nasadiť najmodernejšie riešenie pre kontrolu obsahu, aby potlačili kybernetické útoky

Jak môže pomoci A10 Networks

Tradičné produkty pre zabezpečenie siete bohužiaľ neboli navrhnuté pre kontrolu SSL prevádzky v takej miere. Výsledkom je, že útočníci začali využívať šifrovanie, aby sa vyhli bezpečnostnej kontrole. A10 Networks pomáha organizáciám eliminovať toto potenciálne slepé miesto v obrane tým, že poskytuje dedikovanou inšpekciu SSL.

Application Delivery Controllery (ADC) majú vyhradený výkonný hardvér, ktorý riadi zabezpečenú prevádzku vrátane nárazových špičiek. Okrem vysokého počtu spojení za sekundu (CPS) zvládajú bez problémov pracovať s SSL certifikáty s 4096bitovými kľúčmi. ADC musí byť vysoko flexibilný, aby účinne spĺňal tieto požiadavky.

Na flexibilite ADC rozhodne záleží, preto majú zariadenia A10 Thunder integrované čipové sady ASIC vyhradené pre funkcie šifrovania/dešifrovania a procesory Nitrox spolu s naladeným operačným systémom ACOS.

Thunder SSLi vďaka tomu dokáže riadiť vysoký počet súbežných zabezpečených spojení a obsluhovať veľké množstvo SSL spojenie za sekundu (počet nových http spojení behom 1 sekundy). V dôsledku tak môže výrazne zlepšiť výkon vašich kritických aplikácií a služieb.

V prostrediach, ktoré vyžadujú vyššie štandardy šifrovania, poskytujú hardvérové akceleračné karty A10 Networks vysoký SSL výkon, vďaka čomu sú 4096bitové kľúče dostupné a nákladovo efektívne aj pre produkčné nasadenie.


Autor: Mike Thompson, A10 Networks
Preklad, úpravy a aktualizácia: Jan Mazal, VPGC

Zdroj: What is SSL offloading?