暗伏的危机——为何我们需要SSL流量检查

Jeff Harris为我们展现了因SSL加密数据倍增所导致的安全盲点，以及如何利用SSL流量检查在不影响性能的情况下全面洞察网络潜在威胁。

数据流量加密是否有利于网络安全?某种程度上来说，的确如此。然而美好的事物往往都是鱼和熊掌不可兼得，为提高安全性而牺牲应用性能是我们需要避免的事情。

大多数企业机构的SSL流量平均已占网络总流量的15%至25%，在垂直细分市场中的此类流量更高。行业规范诸如支付卡行业安全标准(PCI-DSS)以及HIPAA法案均要求各企业在数据传输中对敏感数据进行加密(例如：银行往来数据、商户或医疗行业相关网站等)。重要企业应用程序如Microsoft Exchange、Salesforce.com、Dropbox也针对LinkedIn、Twitter、Facebook等超人气网站启用SSL，以达到隐私保护要求。

加密有利于保护数据，但它同样可以保护潜在的攻击者。复杂的恶意软件以及难以察觉但有很大危害的潜在攻击信息往往隐藏在SSL加密流量中。然而数据流的加密使得IT团队的安全监控、应用监控、安全分析，甚至资源规划变得更加困难，因为他们不得不通过解密与检查所有数据寻找异常情况。

暗伏的危机

SSL加密数据中还可能隐藏着什么?企业需要了解两大风险：有形威胁以及更加微妙的威胁信号。

这种“威胁”通常是指恶意软件，即经过加密处理伪装成良性SSL流量的恶意代码。威胁信号则表明恶意方正在窥探或扫描网络，试图寻找攻击弱点，它们是潜在黑客或网络入侵的明证。识别和应对这两类威胁是IT团队的主要任务之一，然而日益激增的SSL流量使得这些任务耗时更长并且需要特殊的分析工具。

性能是关键

当然，企业的下一代防火墙和应用监测工具可应对这些威胁。防火墙能够解密和扫描SSL数据，并且根据安全策略检查是否存在恶意软件或防止入侵企图。

但是，此类功能也有附加条件。由于IT团队在防火墙上启动了更多功能，如：病毒防护、防僵尸、IPS、URL过滤和应用控制，整套安全工具的计算时间也越来越长，存在安全套件成为瓶颈的风险，因而限制网络发展，或必须对安全套件进行全面升级，以满足必要的性能需求。

企业战略集团(Enterprise Strategy Group)2015的研究(1)显示，24%的企业网络团队对可能会破坏关键流量或有损业绩的技术表示不太了解。然而，除了正常功能，采用安全网关解密SSL流量的固有处理开销通常会对性能产生显著影响，当业务和数据量都在增长的情况下尤其如此。网络安全检测机构NSS Lab 2013年针对7个下一代防火墙测试(2)的调查发现，在使用基本512B和1024B密码时，该设备的平均性能损失高达74%。

状态检测

所以我们如何才能消除因加密或增加可视性而产生的安全盲点?又是如何在无损整体网络性能的前提下洞察隐蔽流量中潜伏的危机?首先，企业必须全面且清晰地访问其物理、虚拟和混合云环境下的所有流量。为此，通常需要使用全状态SSL解密，拓展安全团队探察业务和网络应用程序加密流量的能力，以发现隐藏的异常，如：网络侦察、入侵或恶意软件。

全状态SSL解密可提供完整的会话信息，帮助IT团队更好地理解处理全进程和可能发动的攻击，这与单纯提供原始数据包的无状态解密截然不同。

其次，全状态SSL解密应在专用平台上完成，如：网络数据包中转(network packet broker)，以便卸载来自防火墙、安全网关和应用程序监视工具的额外处理负担。通过减少工作负载，使其更好地识别并有针对性地应对攻击，这有助于最大限度地发挥防病毒、沙箱和IPS等工具及其运行应用程序的性能和容量。将网络数据包代理程序植入精心搭建的架构旁路框架可实现网络可用性和可靠性最大化。这将充分释放安全性和网络架构的潜力，同时为IT和安全团队提供所有加密和未加密网络流量的全面可视性。

SSL加密在打击非法信息窃取和黑客攻击，保护敏感数据，帮助企业达到合规性要求方面起着至关重要的作用。但它同时也可能隐瞒安全威胁，限制网络团队检查、调整和优化应用性能的能力。企业为客户的流量保驾护航非常重要，然而消除加密盲点并获得洞察网络和关键任务应用程序的全面可视性也同样不容忽视，部署合适架构则是实现一石二鸟的良方。