黑客也抢搭SSL顺风车 HTTPS/SSL加密被重视

(Top 6 dangers of not inspecting SSL traffic。数据来源：A10 Networks

面对这些夹杂着黑客攻击威胁的SSL加密数据，企业要照单全收，全部放行吗？还是要将这些加密的封包一一解密检测，拦下有害的封包，确定安全的数据再放行？答案应该是很清楚的。但同时，企业现行的网络架构有能力将加密封包一一解密检测吗？

Google在2014年8月也宣布将HTTPS加密机制作为网站查找结果的排名考量依据，让有使用HTTPS安全加密网站的排名提升到前面。(数据来源：HTTPS as a ranking signal，webmasters.googleblog.com)。

而随着HTTPS/SSL加密愈来愈被重视，可想而知的是，网络上SSL加密数据流量的比率也会愈来愈高。根据安全应用服务领导厂商A10 Networks最近的一份报告显示，SSL流量在2015年约占网络流量的30%，在2016年会大幅成长至67%，并且在未来趋近到全部的100%。

网络上传送的数据进行SSL加密确实强化了使用者的数据安全，但却也为企业的网安防范新开了一个漏洞。黑客也趁机混水摸鱼，藉SSL加密连线隐藏恶意攻击，来达到入侵企业网络的目的。

在2016年Ponemon Institute的研究报告—Uncovering Hidden Threats within Encrypted Traffic中指出，41%的网络攻击躲藏在加密数据流量里，借此回避网安设备的侦测。

企业为了确保信息的安全，绝对有必要将SSL封包像托运行李一样进行开箱检查，才能够防范躲藏在SSL加密流量中的黑客攻击。SSL加密封包进行解密的策略，那要由谁来执行呢？Web Gateway、IPS、APT等设备都是可能的选项，次时代防火墙NGFW则会是更普遍的选择。

但不论选择，执行的效能永远是IT人员重视的环节。不妙的是，依据NSS Labs对8个次时代防火墙业界龙头产品的测试报告「SSL Performance Problems」显示，这些次时代防火墙在解密封包时均遭遇到严重的效能衰退问题。

尤其是对于愈来愈普遍、安全的2048位元金钥长度的加密流量进行解密，产品效能衰退的状况更加明显，NSS Labs测出来的平均效能损失竟高达81%。

SSL解密的专用设备

如此令人失望的次时代防火墙的测试，看来使用其他的网安产品来兼着负责SSL解密的工作效果也不会太好。这是因为一般的网安设备在卸载加密流量时，需要使用大量的CPU运算而造成设备效能的问题。因此，NSS Labs会宣称：「在未使用SSL解密专用设备的情况下，企业网络中SSL检测的可行性令人担忧」。

事实上，一般的企业网安设备纵使能够对网络流量进行深入的检测与分析，却很少能够高速地处理加密的SSL流量，有些网安产品甚至根本完全无法解密SSL流量。

有鉴于此，全球安全应用服务领导厂商A10 Networks便发展专为解密SSL流量的SSL Insight技术，并利用专用SSL安全处理器来做硬件加速，以提供A10 Networks产品2048位元金钥长度的高效能加解密性能，并具备未来处理4096位元金钥的强大能力。(文章由敦新科技副总经理施建成提供，记者张丹凤报导)