Mis on SSL/TLS dekrüpteerimine?
SSL-dekrüpteerimine, tuntud ka kui SSL/TLS-dekrüpteerimine, viitab turvalise soklikihi (SSL) või transpordikihi turbe (TLS) abil krüpteeritud võrguliikluse pealtkuulamise ja dekrüpteerimise protsessile. SSL/TLS on laialdaselt kasutatav krüpteerimisprotokoll, mis turvab andmeedastust arvutivõrkudes, näiteks internetis.
SSL-krüpteerimist teostavad tavaliselt turvaseadmed, näiteks tulemüürid, sissetungimise ennetamise süsteemid (IPS) või spetsiaalsed SSL-krüpteerimisseadmed. Need seadmed paigutatakse võrgus strateegiliselt krüpteeritud liikluse kontrollimiseks turvalisuse eesmärgil. Peamine eesmärk on analüüsida krüpteeritud andmeid võimalike ohtude, pahavara või volitamata tegevuste suhtes.
SSL-krüpteerimiseks toimib turvaseade vahendajana kliendi (nt veebibrauseri) ja serveri vahel. Kui klient algatab serveriga SSL/TLS-ühenduse, peatab turvaseade krüptitud liikluse ja loob kaks eraldi SSL/TLS-ühendust – ühe kliendiga ja teise serveriga.
Seejärel dekrüpteerib turvaseade kliendilt tuleva liikluse, kontrollib dekrüpteeritud sisu ja rakendab turvapoliitikaid pahatahtliku või kahtlase tegevuse tuvastamiseks. Samuti võib see dekrüpteeritud andmetel täita selliseid ülesandeid nagu andmete kadumise ennetamine, sisu filtreerimine või pahavara tuvastamine. Kui liiklus on analüüsitud, krüpteerib turvaseade selle uuesti uue SSL/TLS-sertifikaadi abil ja edastab serverile.
Oluline on märkida, et SSL-dekrüpteerimine tekitab privaatsuse ja turvalisuse probleeme. Kuna turvaseadmel on juurdepääs dekrüpteeritud andmetele, võib see potentsiaalselt vaadata tundlikku teavet, nagu kasutajanimed, paroolid, krediitkaardi andmed või muud võrgu kaudu edastatud konfidentsiaalsed andmed. Seetõttu rakendatakse SSL-dekrüpteerimist üldiselt kontrollitud ja turvatud keskkondades, et tagada pealtkuulatud andmete privaatsus ja terviklikkus.
SSL-dekrüpteerimisel on kolm levinud režiimi:
- Passiivne režiim
- Sissetulev režiim
- Väljaminev režiim
Aga millised on SSL-i dekrüpteerimisrežiimide erinevused?
| Režiim | Passiivne režiim | Sissetulev režiim | Väljaminev režiim |
| Kirjeldus | Lihtsalt edastab SSL/TLS-liiklust ilma dekrüpteerimata või muutmata. | Dekrüpteerib kliendi päringud, analüüsib ja rakendab turvapoliitikaid ning seejärel edastab päringud serverile. | Dekrüpteerib serveri vastused, analüüsib ja rakendab turvapoliitikaid ning seejärel edastab vastused kliendile. |
| Liiklusvoog | Kahesuunaline | Kliendist serverisse | Serverist kliendiks |
| Seadme roll | Vaatleja | Mees keskel | Mees keskel |
| Dekrüpteerimise asukoht | Dekrüpteerimist ei toimu | Dekrüpteerib võrgu perimeetril (tavaliselt serveri ees). | Dekrüpteerib võrgu perimeetril (tavaliselt kliendi ees). |
| Liikluse nähtavus | Ainult krüpteeritud liiklus | Dekrüpteeritud kliendipäringud | Dekrüpteeritud serveri vastused |
| Liikluse muutmine | Modifikatsioone pole | Võib muuta liiklust analüüsi või turvalisuse eesmärgil. | Võib muuta liiklust analüüsi või turvalisuse eesmärgil. |
| SSL-sertifikaat | Privaatvõtit ega sertifikaati pole vaja | Nõuab pealtkuulatava serveri privaatvõtit ja sertifikaati | Nõuab pealtkuulatava kliendi privaatvõtit ja sertifikaati |
| Turvakontroll | Piiratud kontroll, kuna see ei saa krüpteeritud liiklust kontrollida ega muuta | Saab kliendipäringutele enne serverisse jõudmist turvapoliitikaid kontrollida ja rakendada | Saab enne kliendini jõudmist serveri vastustele turvapoliitikaid kontrollida ja rakendada |
| Privaatsusprobleemid | Ei pääse ligi krüpteeritud andmetele ega analüüsi neid | Juurdepääs dekrüpteeritud kliendipäringutele, mis tekitab privaatsusprobleeme | Juurdepääs dekrüpteeritud serveri vastustele, mis tekitab privaatsusprobleeme |
| Vastavuse kaalutlused | Minimaalne mõju privaatsusele ja vastavusele | Võib nõuda andmekaitsealaste eeskirjade järgimist | Võib nõuda andmekaitsealaste eeskirjade järgimist |
Võrreldes turvalise edastusplatvormi järjestikuse dekrüpteerimisega on traditsioonilisel järjestikuse dekrüpteerimise tehnoloogial piirangud.
Tulemüürid ja võrgu turvalüüsid, mis dekrüpteerivad SSL/TLS-liiklust, ei suuda sageli dekrüpteeritud liiklust teistele jälgimis- ja turvatööriistadele saata. Samamoodi kõrvaldab koormuse tasakaalustamine SSL/TLS-liikluse ja jaotab koormuse ideaalselt serverite vahel, kuid see ei jaota liiklust enne uuesti krüpteerimist mitme aheldatud turvatööriista vahel. Lõpuks puudub neil lahendustel kontroll liikluse valiku üle ja need jaotavad krüpteerimata liikluse juhtmekiirusel, saates tavaliselt kogu liikluse dekrüpteerimismootorisse, mis tekitab jõudlusprobleeme.
Mylinking™ SSL-dekrüpteerimisega saate lahendada järgmised probleemid:
1. Täiustada olemasolevaid turvatööriistu, tsentraliseerides ja vabastades SSL-i dekrüpteerimise ja uuesti krüpteerimise kohustusest;
2. Paljastada varjatud ohte, andmetega seotud rikkumisi ja pahavara;
3. Austa andmekaitse vastavust poliitikapõhistele valikulistele dekrüpteerimismeetoditele;
4 - Teenuste ahel mitme liiklusluure rakenduse jaoks, näiteks pakettide viilutamine, maskeerimine, deduplikatsioon ja adaptiivne seansi filtreerimine jne.
5. Mõjutage oma võrgu jõudlust ja tehke vastavad muudatused, et tagada tasakaal turvalisuse ja jõudluse vahel.
Need on mõned SSL-i dekrüpteerimise peamised rakendused võrgupaketi vahendajates. SSL/TLS-liikluse dekrüpteerimisega parandavad NPB-d turva- ja jälgimisvahendite nähtavust ja tõhusust, tagades ulatusliku võrgukaitse ja jõudluse jälgimise võimalused. SSL-i dekrüpteerimine võrgupaketi vahendajates (NPB-des) hõlmab krüpteeritud liiklusele juurdepääsu ja dekrüpteerimist kontrollimiseks ja analüüsimiseks. Dekrüpteeritud liikluse privaatsuse ja turvalisuse tagamine on äärmiselt oluline. Oluline on märkida, et organisatsioonidel, kes juurutavad NPB-des SSL-i dekrüpteerimist, peaksid olema kehtestatud selged poliitikad ja protseduurid dekrüpteeritud liikluse kasutamise reguleerimiseks, sealhulgas juurdepääsu kontroll, andmete käitlemine ja säilitamispoliitika. Kohaldatavate juriidiliste ja regulatiivsete nõuete järgimine on dekrüpteeritud liikluse privaatsuse ja turvalisuse tagamiseks hädavajalik.
Postituse aeg: 04.09.2023
