Written by Vyšlo na Computerworld.cz, 30. 1. 2019: Proč je natolik důležité kontrolovat SSL provoz v době, kdy je šifrování dat jedním z nejbezpečnějších způsobů, jak informace ochránit, a jaký smysl mají zařízení pro dešifrování komunikace pro její další inspekci?
Letos v květnu tomu bude rok, co nabylo účinnosti Obecné nařízení o ochraně osobních údajů (GDPR). Netřeba připomínat tolikrát omílané pokuty až v desítkách milionů eur, které hrozí organizacím, jež dostatečně nezajistí osobní data občanů EU.
Jedním z doporučovaných postupů, jak chránit data, je jejich enkrypce. I to je jeden z důvodů, proč jsou dnes již přibližně tři čtvrtiny veškerého internetového provozu zašifrované, a tento podíl roste (aktuální statistiky např. na letsencrypt.org/stats). Šifrovaná komunikace prostupuje řadou oblastí od osobních dat, jako jsou finanční údaje či zdravotní záznamy, až po běžnější informace, jako jsou e-maily, online hudba nebo vaše stránky na Facebooku.
Bezpečné přístřeší i pro hrozby
Šifrování prokazatelně chrání soukromé údaje. Jenže s rostoucím poměrem šifrovaného provozu se zvyšuje také riziko, že se v něm ukryjí i nežádoucí hrozby. Útočníci mohou do šifrovaných přenosů vpašovat například malware nebo jiné škodlivé soubory s cílem nakazit vaši síť a ukrást cenná data.
Podle průzkumu Ponemon Institutu je 41 procent všech počítačových útoků ukryto v šifrované komunikaci, přesto 64 procent respondentů tvrdí, že škodlivý SSL provoz nedokáže detekovat. Mezi tři klíčové důvody, kvůli kterým organizace nekontrolují SSL provoz, patří podle dotazování IT a bezpečnostních pracovníků nevyhovující bezpečnostní nástroje, nedostatečné zdroje a obavy z degradace výkonu.
Relevantní připomínkou organizací pro nenasazení inspekce SSL provozu může být obava z narušení soukromí uživatelů při dešifrování jejich komunikace. I toto má řešení, jak si vysvětlíme dále.
Kontrolovat, či nekontrolovat SSL
Proč by tedy organizace, které nekontrolují SSL provoz, měly zpozornět? Nemožnost kontrolovat datové přenosy, může snadno to vést ke ztrátě dat. Tím se, v závislosti na velikosti organizace a objemu zpracovávaných údajů, vystavujete nesplnění požadavku GDPR na zavedení vhodných technických opatření pro ochranu osobních dat.
Představte si totiž, že útočník skryje soubory exfiltračního malwaru do šifrovaného provozu, který teče do vaší sítě. Tyto soubory poté někdo v organizaci spustí a dojde k vynesení dat. Podle pravidel GDPR musí podnik hlásit narušení bezpečnosti údajů do 72 hodin od jeho zjištění a musí informovat jednotlivce nebo zákazníky, pokud jim kvůli tomu hrozí nějaké nepříznivé dopady.
Schopnost vytvořit bezpečnou dešifrovací oblast, dekrypce a kontrola šifrovaného provozu je jedním ze způsobů, jak se chránit před ztrátou dat, potenciálně nákladnými pokutami, a přitom poskytuje vhled do jinak zakódované komunikace.
Řešení od A10 Networks
Ačkoliv dedikovaná zařízení, která jsou běžně na českém a slovenském trhu nasazována, dokážou dělat hloubkovou kontrolu a analýzu síťového provozu, nebývají navržena pro dešifrování a opětovné zašifrování komunikace ve vysokých rychlostech a objemech. Některé tyto schopnosti fakticky nemají vůbec.
A10 Thunder SSLi umožňuje organizacím kontrolovat SSL provoz napříč všemi porty, nejen na portu 443, a zajistit si potřebnou viditelnost. Současně zvyšuje výkon bezpečnostní infrastruktury dešifrováváním provozu a přeposíláním na jedno nebo více bezpečnostních zařízení. Poté A10 Thunder provoz znovu zašifruje, přepošle do určené destinace, a obdobně zachází s odpovědí.
V dešifrované zóně mohou provoz kontrolovat webové brány, firewally, IDP/IPS, antivirové a antimalwarové systémy s podporou ICAP protokolu, DLP a jiné bezpečnostní systémy třetích stran, a to bez dodatečné zátěže spojené s dešifrováním a opětovným šifrováním dat. Tuto zátěž na sebe bere SSLi při dodržování standardů ochrany osobních údajů.
Řešení A10 Thunder jsou k dispozici jako hardwarové nebo virtuální appliance, které mohou běžet on-premise nebo v cloudu. Díky využití operačního systému ACOS společně s hardwarovými akcelerátory SSL celková propustnost dosahuje až 75 Gbps (25 Gbps pro SSLi), přičemž zvládnou navázat 20 tisíc (eliptické křivky) až 45 tisíc (RSA) SSL spojení za sekundu a obsloužit až dva miliony souběžných SSL spojení. K dispozici je kromě webového uživatelského rozhraní standardní příkazová řádka (CLI) a pro integraci s prostředím třetích stran také 100% RESTful API.
Pro zajištění shody s GDPR je zásadní, že použitím konfigurovatelného bypassu se organizace mohou rozhodnout, zda z inspekce vynechají určité typy provozu, webové stránky nebo aplikace, které musejí zůstat šifrované a anonymizované – typicky osobní údaje, soukromá e-mailová komunikace nebo přístup zaměstnanců k online bankovnictví.
Na základě textu Paula Nicholsona, A10 Networks, připravil Václav Paur, CTO, VPGC