在今天，商业的战争演变成了技术的交锋，谁使用更领先的科技，谁就有更光明的未来。大数据，物联网，人工智能和云计算已经成为现在企业的标配。然而，科技越发达，威胁也就越多。随着威胁态势不断演变且加密措施日益普及，对流量进行更严格检查的需求也呈指数级增长。安全团队采用多种技术来检测其应用面临的威胁，包括下一代防火墙（NGFW）、Web 应用防火墙（WAF） 及入侵防御系统（IPS），但F5在这方面的防御效果却特别好，那么F5的SSL加解密和负载均衡器如何提高安全性？

　　由于之前技术缺乏对加密流量的可视性，因此在检查中需要使用 SSL/ TLS 解密来提供需要的任何价值。在传统基础设施中，必须在检查链的每个控制点重复执行相关解密 和重加密任务。
　　

　　再多个控制点执行流量解密

　　在连接流的多个控制点进行解密将带来以下问题：

　　 需要额外的投入以在每台设备上实施 TLS 解密。

　　 加重每台解密设备的性能负担。

　　出现多个故障点，增加连接延迟。

　　增加公共证书和密钥对的分发和管理负荷。

　　独立扩展每项服务的难度增加。

　　许多企业的对策是，在 DMZ 中创建解密区并通过多台设备进行检查，但在静态路径中所有解密流量通常由同一设备链检查。尽管这一策略确实能够提升性能，并降低管理费用，但却可能带来扩展问题。此外，它还可能限制正向加密所需的密码套件的使用，进而削弱环境的加密安全性。最后，该流程效率低下，因为您的安全设备将检查所有内容，而非仅识别和检查可疑流量。设置解密区的同时若不配以增强的智能性和流量编排，对于处理亟待解决的加密流量可视性难题显然帮助不大。值得庆幸的是，我们有更好的方法。

　　更多安全的应用交付

　　随着 HTTPS 流量激增，解密已经成为支持应用层流量管理决策的必要条件。企业经常利用 BIG-IP 本地流量管理器（LTM）等应用交付控制器（ADC）为应用服务器以外的其他系统提供可视性。由此带来的新挑战是，需要通过同一应用连接为多种第三方检查技术提供可视性。
　　

　　SSL Orchestrator 的动态服务链

　　去年，F5 SSL Orchestrator 正式发布，推出了针对出站流量动态链接多项检查服务的功能。借助 TMOS 版本 14，SSL Orchestrator 为入站流量添加了相同功能。这一全新入站服务链功能让现有 BIG-IP LTM 成为添加 SSL Orchestrator 的合理位置，可支持当今威胁形势下所需的安全检查。 请考虑这样一种场景，即在将所有解密流量发送到目标应用服务器之前，将其发送至性能监控系统。如果源 IP 地址可疑，则最好发送此解密流量供 IPS 检查，并由性能监控系统进行记录。SSL Orchestrator 能够加强对可疑请求的检查，而无需使用复杂路由或其他网络路径。SSL Orchestrator 的独特服务链功能支持安全运营团队创建一个动态配置，以适应具有多个相关检查路径的许多不同场景。SSL Orchestrator 提供一个易于使用的 GUI 和支持新老应用的工作流。因此，该解决方案能够轻松集成至现有环境或新构建的环境中。此外，您还可以将SSL Orchestrator 配置到独立架构中，以便将重 加密流量发送至另一个路由目标，而非应用服务器池。
　　

　　SSL Orchestrator 的独特服务链功能支持安全运营团队创建一个动态配置

　　架构考虑因素

　　在传输通过解密区中的所有检查设备后，流量将返回到原始 BIG-IP 设备。因此，流量和利用率能够迅速提升。BIG-IP云版本部署将需要使用更大或更多实例。对于 BIG-IP 硬件设备而言，这意味着需要确 保指定的新设备或现有设备具有足够的可用容量。幸运的是，TMOS 中高度优化的 SSL/TLS 堆栈不仅支持高效的解密和重加密，而且在硬件方面，它还具备专用加密处理器的优势。

　　总结

　　安全与风险控制息息相关，只有提高可视性才能实现有效控制。SSL Orchestrator 支持安全从业人员更深入地了解新流量和现有流量，从而最大限度地提高现有安全投资成效。将 SSL Orchestrator 添加至 BIG-IP 本地流量管理器能够最大限度地减少对现有架构的影响，并将 ADC 用作战略控制点，可帮助您改善安全状况，同时保持业务运营所需的性能标准。