fbpx

Tech

Autentizace a šifrování

Certifikace SSL/TLS a možná ohrožení

Ačkoli SSL/TLS nabízí relativně bezpečné řešení problémů souvisejících s bezpečností komunikace, rozšířená autentizace může poskytnout zvýšenou ochranu citlivých dat. Ale ani to nemusí být samospásné řešení…

O významu zkratek SSL/TLS jsme psali – a došlo i na protokol HTTPS. Nyní se pojďme podívat na možnosti rozšířené autentizace, zdroje hrozeb a nástroje pro zvýšení bezpečnosti dat.

Tři úrovně zabezpečení SSL/TLS certifikátů

  1. Certifikáty ověření domény

Nejzákladnějším certifikátem SSL/TLS je ověřovací certifikát domény. Tento certifikát vyžaduje, aby organizace prokázala, že řídí zadaný název domény. Nepotvrzuje to však identitu organizace.

  1. Osvědčení o ověření organizace

Osvědčení o ověření organizace vyžaduje, aby podnik prokázal, že ovládá dané doménové jméno – a také prokázal, že společnost je legálně registrována jako firma. Tato úroveň ověřování je důkazem jak názvu domény, tak názvu společnosti, a je upřednostňována pro weby zaměřené na veřejnost, které shromažďují data od uživatelů.

  1. Rozšířené validační certifikáty

Nejbezpečnější certifikáty SSL/TLS jsou rozšířené ověřovací certifikáty. Kromě prokazování vlastnictví doménového jména a názvu společnosti tyto certifikáty obsahují další ověřovací kroky určené k ochraně dat před neoprávněným zásahem.

Samozřejmě, i při rozšířené validaci, může být SSL/TLS za určitých okolností stále zranitelný.

 

SSL/TLS jako zdroj hrozeb

Hackeři totiž začali využívat TLS relace k vložení malwaru, maskování provozu příkazů a řízení a k exfiltraci ukradených dat. Aby se správci sítě dokázali těmto hrozbám bránit a získali viditelnost a kontrolu nad prudce rostoucím provozním číslem TLS, musí firmy zvážit dešifrování příchozího a postranního přenosu. Než se však rozhodnete pro dešifrování, budete chtít zvážit některé relevantní faktory.

Prvním z těchto faktorů je využití zdrojů: Dešifrování je intenzivní funkce, která závisí na velkém množství prostředků procesoru. A protože jsou tyto zdroje omezené, účinně to ukradne dostupné zdroje z bezpečnostních nástrojů. V nedávné studii NSS Labs zjistilo, že dešifrování SSL/TLS může snížit výkon firewallu až o 80 % a snížit transakce dat za sekundu až o 92 %.

Druhým důležitým faktorem je regulace soukromí. Nařízení o ochraně osobních údajů jsou zavedena a uplatňována proto, aby zajistila, že osobní údaje (např. údaje, na které se vztahují předpisy GDPR, finanční předpisy a nařízení HIPAA) nikdy nebudou zveřejněny. To znamená, že dešifrování musí být selektivní ohledně toho, který provoz je kontrolován a jaký provoz je ponechán na pokoji.

 

Co třeba nástroje pro dešifrování?

Řešením může být specializovaný nástroj pro dešifrování síťového provozu. Jedna z předních firem v oboru – společnost Gigamon – poskytuje řešení ve formě Gigamon Visibility Fabric.

Tento nástroj přináší viditelnost nad přenosem SSL/TLS bez potřeby využití procesorů a umožňuje tak uvolnit zdroje pro bezpečnostních nástroje. Gigamon Visibility Fabric dešifruje provoz a dešifruje jej jednou. Poté sdílí relevantní přenos se správnými nástroji. Tento přístup dešifrování jednou uvolňuje síťovou šířku pásma a zajišťuje, že do sítě vstupuje pouze autorizovaný provoz – účinně eliminuje SSL/TLS jako zdroj hrozeb.

 

Chraňte své uživatele a podnikání

Data sdílená přes internet jsou nejen zranitelná, ale aktivně cílená. A weby elektronického obchodování nejsou jediné, které jsou pod palbou. Kromě hesel a informací o kreditní kartě mají kyberzločinci zájem o získání takových informací, které by v případě ohrožení mohly stále způsobit vážné problémy pro vaše zákazníky a vaši firmu.

SSL/TLS je řešení, které poskytuje spolehlivé šifrování a dešifrování dat, které chrání citlivé informace mimo nesprávné ruce. Ale rozhodně není 100% spolehlivé. Chcete-li zajistit zabezpečení komunikace v síti, potřebujete nástroje pro pokročilou viditelnost sítě. Potřebujete schopnost jednorázového dešifrování a nasměrování veškerého provozu na správné nástroje zabezpečení a monitorování.

Nežijeme v ideálním světě, ale můžeme si ho velmi dobře přizpůsobit.

Sdílet:
PŘEDCHOZÍ ČLÁNEK

Posted by -
DALŠÍ ČLÁNEK

Posted by -

Chcete dostávat měsíční přehled toho nejzajímavějšího z ICT Blogu?