A criptografia Secure Sockets Layer/Transport Layer Security (SSL/TLS), ou o tráfego de HTTPS, tem se tornado um meio universal de proteger dados confidenciais em trânsito na Internet. A questão é: como você pode manter intactas a integridade e a privacidade da comunicação SSL, ao mesmo tempo que garante a segurança da rede e dos dados sendo trocados?
O ideal é descriptografar o tráfego criptografado que entra na sua rede para permitir que o firewall de segurança de rede verifique o tráfego e identifique ameaças ocultas. Para isso, os firewalls de hoje em dia aplicam uma inspeção profunda de pacotes de tecnologia Secure Sockets Layer (DPI SSL).
Entretanto, mesmo os fornecedores de firewall que alegam oferecer a inspeção e a descriptografia SSL podem não ter a capacidade de processamento para lidar com o nível de tráfego SSL que passa pela rede hoje em dia. Ao considerar uma solução DPI SSL, é recomendado realizar uma avaliação com prova de conceito.
A melhor solução utiliza a tecnologia full-stack inspection engine para verificar o tráfego criptografado em SSL contra ameaças e então envia o tráfego ao seu destino, caso nenhuma ameaça ou vulnerabilidade seja encontrada. Também é importante ter uma configuração simples e segura que reduza a sobrecarga e a complexidade da configuração.
Considerações de implantação
Para implementações de tráfego intenso, é necessário excluir fontes confiáveis a fim de aumentar o desempenho da rede. Além disso, você deseja poder direcionar o tráfego específico da inspeção de SSL ao personalizar uma lista que determina o endereço, assim como o serviço, os grupos ou os objetos de usuários.
Também é essencial inspecionar o tráfego SSL, independentemente de ele vir por trás da LAN do firewall para acessar o conteúdo na WAN ou vice-versa. Esse nível de inspeção protege todos os usuários na LAN contra intrusão, vírus, cavalos de Troia e outros ataques perigosos à rede ocultos pela criptografia. Ele também protege todos os usuários na WAN, inclusive clientes remotos, contra ataques criptografados ocultos.
Outra consideração é uma solução de hardware de segurança de firewall que possa escalar facilmente para fornecer DPI-SSL server-side e client-side sem comprometer a eficácia da segurança. A resposta é um “sanduíche de firewall”.
Um sanduíche de firewall é uma configuração com base em firewalls de próxima geração (NGFWs) que podem ajustar a escalabilidade vertical com DPI-SSL de entrada e de saída. O sanduíche de firewall é altamente eficiente, pois ele ajusta a escalabilidade horizontal de maneira linear. Ele contém uma arquitetura baseada em rede que conta com NGFWs em uma camada única, em vez de appliances adicionais para a filtragem de conteúdo ou descriptografia SSL. Essa abordagem adiciona proteção sem prejudicar a taxa de transferência e evita que a baixa escalabilidade e os custos atinjam o próximo grande chassi.
Observe que os firewalls utilizados para essa abordagem devem ser projetados com processadores com vários núcleos a fim de que possam escalar ao serem executados em paralelo uns com os outros. Diversas marcas de NGFW podem não escalar de maneira linear, o que pode levar à degradação do desempenho caso um componente nessa configuração atinja o limite máximo. Com a combinação certa de firewalls, você pode recuperar o desempenho perdido ao inspecionar a SSL nos firewalls existentes ou independentes e escalar a DPI-SSL para até 80 Gbit/s.
Melhores práticas para proteção
A boa notícia é que existem maneiras de aproveitar os benefícios de segurança da criptografia SSL/TLS sem fornecer um túnel para os invasores:
1. Se você não fez uma auditoria de segurança recentemente, realize uma análise de riscos abrangente para identificar seus riscos e necessidades.
2. Atualize para um NGFW eficiente e extensível com um IPS integrado e um design de inspeção de SSL que possa escalar o desempenho para oferecer suporte ao crescimento futuro.
3. Atualize suas políticas de segurança para se defender contra uma grande variedade de vetores de ameaças e estabelecer múltiplos métodos de defesa de segurança para responder a ambos os ataques de HTTP e HTTPS.
4. Treine a sua equipe continuamente para que ela esteja consciente dos perigos das mídias sociais, dos downloads e sites de engenharia social suspeitos, além das tentativas de phishing e spam.
5. Informe os usuários a nunca aceitarem um certificado inválido e autoassinado.
6. Certifique-se de que todo o seu software esteja atualizado. Isso ajudará a protegê-lo contra exploits de SSL antigos que já foram neutralizados
Fonte: Portnet