|
据最新统计数据显示,当前网络加密流量已突破了70%,而且预计这一数字仍会持续增长。不幸的是,当前很少有安全设备能够检查加密流量而不影响网络性能的。那么对于企业来说该怎么办呢?  加密竟也有坏处 虽然在许多方面,加密流量的增长对安全来说是一件好事,但更高的加密率也给深入检查流量和检测威胁带来了严峻的挑战。因为加密仅仅是一种工具,所以它可以用来保护任何流量不被检测到,而这个过程中是无法区分好与坏的。 例如,网络犯罪分子非常了解加密技术的发展,并利用加密技术来掩盖其存在来逃避检测。随着加密数据的数量和百分比的不断增加,这些犯罪手段越来越可能隐藏在显而易见的地方。 安全设备跟不上 一般来说,检查加密流量会给安全设备带来巨大的压力。当今市场上几乎所有可用的防火墙和IP防护设备,面对加密流量的检查都存在性能瓶颈,因为要快速地解密和检查SSL/TLS流量是非常占用CPU的。 根据NSS实验室最近的测试结果,很少有安全设备能够在不严重影响网络性能的情况下检查加密数据。平均而言,深度包检查的性能损失为60%,连接率平均下降了92%,响应时间则增加了高达672%。更令人担忧的是,一些需要被分析的流量却根本没有被这些安全设备所处理。 企业如何应对挑战 那么面对上述情况,企业该如何应对呢?以下就是一些帮助企业解决日益增长的加密流量,可能带来潜在安全威胁的建议: 首先,建立完整的安全策略。现实情况是,当今网络中遇到的大多数问题,都是由于无法及时修补、升级或更换易受攻击的设备,配置失误检查不到位,或是端口未加固,而容易遭受攻击导致的。 其次,测试当前使用的设备。随着网络环境的不断发展,当潜在瓶颈出现之前如果就能认识到它们,显然是至关重要的。可能的条件下,在检查大量SSL/TLS加密流量时,测试现有安全设备的性能问题。同样,检查确保它们支持所有主流的加密算法。 再有,部署网络风控机制。在防止因加密恶意软件引起的网络事件的情况下,预防措施包括实施NAC以识别设备、自动分割流量以限制风险,甚至上网行为分析,方便当应用程序不在预期位置出现,或者突发外部流量来临时,能够收到警报。 最后,设计一套非硬件的解密解决方案。假如一旦遭遇到的加密流量超过了防护硬件的可用资源,那么通过软性解密并分析加密流量将成为很好的替补。 结语 如今越来越多的移动和物联网设备进入到企业网络,同时采用越来越复杂的多云架构,数据与流量早已挣脱出静态网络硬件与框架的束缚。基于Web和应用的流量在总体流量中占到了更多份额,其中大部分流量则包括敏感数据或访问传统上隐藏在数据中心深处的信息。这时我们既不希望未经检查的流量在企业网络中自由游弋,也不希望大量加密流量降低防护设备的性能,因此如何拿捏好其中的平衡点仍有待相关技术的进一步提升了。 |
|
|
