F5的SSL加解密和负载均衡器如何提高安全性?
在今天,商业的战争演变成了技术的交锋,谁使用更领先的科技,谁就有更光明的未来。大数据,物联网,人工智能和云计算已经成为现在企业的标配。然而,科技越发达,威胁也就越多。随着威胁态势不断演变且加密措施日益普及,对流量进行更严格检查的需求也呈指数级增长。安全团队采用多种技术来检测其应用面临的威胁,包括下一代防火墙(NGFW)、Web 应用防火墙(WAF) 及入侵防御系统(IPS),但F5在这方面的防御效果却特别好,那么F5的SSL加解密和负载均衡器如何提高安全性?
由于之前技术缺乏对加密流量的可视性,因此在检查中需要使用 SSL/ TLS 解密来提供需要的任何价值。在传统基础设施中,必须在检查链的每个控制点重复执行相关解密 和重加密任务。
再多个控制点执行流量解密
在连接流的多个控制点进行解密将带来以下问题:
需要额外的投入以在每台设备上实施 TLS 解密。
加重每台解密设备的性能负担。
出现多个故障点,增加连接延迟。
增加公共证书和密钥对的分发和管理负荷。
独立扩展每项服务的难度增加。
许多企业的对策是,在 DMZ 中创建解密区并通过多台设备进行检查,但在静态路径中所有解密流量通常由同一设备链检查。尽管这一策略确实能够提升性能,并降低管理费用,但却可能带来扩展问题。此外,它还可能限制正向加密所需的密码套件的使用,进而削弱环境的加密安全性。最后,该流程效率低下,因为您的安全设备将检查所有内容,而非仅识别和检查可疑流量。设置解密区的同时若不配以增强的智能性和流量编排,对于处理亟待解决的加密流量可视性难题显然帮助不大。值得庆幸的是,我们有更好的方法。
更多安全的应用交付
随着 HTTPS 流量激增,解密已经成为支持应用层流量管理决策的必要条件。企业经常利用 BIG-IP 本地流量管理器(LTM)等应用交付控制器(ADC)为应用服务器以外的其他系统提供可视性。由此带来的新挑战是,需要通过同一应用连接为多种第三方检查技术提供可视性。
SSL Orchestrator 的动态服务链
去年,F5 SSL Orchestrator 正式发布,推出了针对出站流量动态链接多项检查服务的功能。借助 TMOS 版本 14,SSL Orchestrator 为入站流量添加了相同功能。这一全新入站服务链功能让现有 BIG-IP LTM 成为添加 SSL Orchestrator 的合理位置,可支持当今威胁形势下所需的安全检查。 请考虑这样一种场景,即在将所有解密流量发送到目标应用服务器之前,将其发送至性能监控系统。如果源 IP 地址可疑,则最好发送此解密流量供 IPS 检查,并由性能监控系统进行记录。SSL Orchestrator 能够加强对可疑请求的检查,而无需使用复杂路由或其他网络路径。SSL Orchestrator 的独特服务链功能支持安全运营团队创建一个动态配置,以适应具有多个相关检查路径的许多不同场景。SSL Orchestrator 提供一个易于使用的 GUI 和支持新老应用的工作流。因此,该解决方案能够轻松集成至现有环境或新构建的环境中。此外,您还可以将SSL Orchestrator 配置到独立架构中,以便将重 加密流量发送至另一个路由目标,而非应用服务器池。
SSL Orchestrator 的独特服务链功能支持安全运营团队创建一个动态配置
架构考虑因素
在传输通过解密区中的所有检查设备后,流量将返回到原始 BIG-IP 设备。因此,流量和利用率能够迅速提升。BIG-IP云版本部署将需要使用更大或更多实例。对于 BIG-IP 硬件设备而言,这意味着需要确 保指定的新设备或现有设备具有足够的可用容量。幸运的是,TMOS 中高度优化的 SSL/TLS 堆栈不仅支持高效的解密和重加密,而且在硬件方面,它还具备专用加密处理器的优势。
总结
安全与风险控制息息相关,只有提高可视性才能实现有效控制。SSL Orchestrator 支持安全从业人员更深入地了解新流量和现有流量,从而最大限度地提高现有安全投资成效。将 SSL Orchestrator 添加至 BIG-IP 本地流量管理器能够最大限度地减少对现有架构的影响,并将 ADC 用作战略控制点,可帮助您改善安全状况,同时保持业务运营所需的性能标准。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
为什么它有典型FaaS能力,却是非典型FaaS架构?
阿里妹导读:FaaS—Function as a service,函数即服务。它是2014年由于亚马逊的AWS Lambda的兴起,而被大家广泛认知。FaaS能力是NBF中的一项非常重要的能力,NBF是一个非典型的FaaS架构,但是具备了典型的FaaS能力。文章将详细介绍NBF的FaaS容器架构、服务发布、服务路由和强大的Serverless能力以及NBF-FaaS在阿里大促期间的实践心得。 1.NBF NBF (New-Retail Business Framework) 是供应链中台基础技术团队研发的新零售服务开放框架,提供了标准化业务定义、快捷服务开发和生态开放的能力,旨在为生态伙伴提供一整套完整的新零售PaaS和SaaS的解决方案。 2.FaaS 2.1定义 FaaS是Serverless的一种典型形式,由 Serverless平
- 下一篇
什么叫做IaC,与DevOps有什么关系?如何实现?
互联网时代 ,Development应运而生,用户高并发 ,Operations 因势而动,用户终体验 Dev + Operations = DevOps。茫茫IT大江湖,创新钻研的人总会相遇,接头暗号:敏捷、持续、稳定、交付,探讨DevOps趋势,今天要给大家普及的是IaC,那么什么叫做IaC,与F5的DevOps有什么关系?如何实现呢? Infrastructure as Code:基础设施即代码(以下均简称IaC)是一种用描述性的方式来管理基础设施(包括网络,虚拟机,存储,负载均衡等),IaC模型在每次应用时都生成相同的环境,它是与DevOps结合的关键时间,与持续交付(Continue Delivery)结合使用。 IaC的发展,解决了CD流水线中的环境飘移问题。如果没有IaC,团队必须维护各个环境的设置。随着时间的推移,每个环境都会成为了信息孤岛,无法自动复制相同的配置。环境之间的不一致会导致部署期间出现问题,最后会导致基础设施的管理,变得非常难以跟踪,并且只能通过手动进行单独的维护。 与DevOps的关系 IaC是成为在DevOps中实现最佳实践的关键属性,开发人员可以更多...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS6,CentOS7官方镜像安装Oracle11G
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Hadoop3单机部署,实现最简伪集群
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果