Teamwork im Netzwerk

So funktioniert wirkungsvolle SSL-Inspektion

Die Verschlüsselung von Web-Traffic ist aus der heutigen Welt nicht mehr wegzudenken. Beschränkte sich diese Sicherheitsmaßnahme noch vor ein paar Jahren eher auf den Austausch sensibler Daten, beispielsweise für das Online-Banking, ist er heute allgegenwärtig. Bis Ende des Jahres werden voraussichtlich ganze zwei Drittel des gesamten Internet-Traffics verschlüsselt sein. Und das ist prinzipiell auch gut so. Das Internet Protokoll HTTPS versichert uns als User, dass alle Informationen, die wir austauschen, verschlüsselt und damit vor fremden Augen sicher sind.

Zur Erinnerung: HTTPS setzt sich aus HyperText Transfer Protocol (HTTP) und Security Socket Layer (SSL) zusammen. Wenn ein Client auf eine Website oder Web-Applikation zugreift, bietet HTTPS Authentifikation sowohl für die Website als auch den assoziierten Web-Server und verschlüsselt Daten zwischen dem Client und dem Server. So schafft HTTPS einen sicheren Kanal in einem unsicheren Netzwerk und garantiert, dass die Website oder Web-Applikation, auf die zugegriffen werden soll, tatsächlich legitim ist.

Auf Schleichfahrt

Das klingt doch nach eitel Sonnenschein für die IT-Sicherheit, oder? Weit gefehlt! Denn auch die bösen Jungs haben die Qualitäten von nicht einsehbarem Datenaustausch für sich entdeckt und verstecken ihre Malware immer öfter in SSL-Traffic. Wird der Traffic beim Transfer ins Netzwerk nicht entschlüsselt und geprüft – die sogenannte SSL-Inspektion – kommt die Schadsoftware an Firewall und Antiviren-Programmen ungehindert vorbei und kann erheblichen Schaden anrichten, bis sie dingfest und unschädlich gemacht wird.

Warum setzen also mehr als 60 Prozent der Unternehmen noch keine SSL-Inspektion ein? Ganz einfach: weil mehr und kompliziertere Arbeit meist auch mehr Zeit in Anspruch nimmt und damit die Leistung als Ganzes leidet. In der Regel belastet SSL-Traffic die CPU der Anwendungs-Server in höherem Maß. Das wiederum wirkt sich nachteilig auf die Anwendungs-Performance und damit auf die Effizienz und die Produktivität aus.

Gemeinsam stark

Das muss aber nicht sein. Es gibt leistungsstarke Lösungen für die Anwendungsbereitstellung, die dafür sorgen, dass trotz SSL-Inspektion die Performance nicht in die Knie geht – sogenannte Application Delivery Controller, oder kurz: ADC. Von denen gibt es eine Menge am Markt und da kann die richtige Wahl schon einmal schwer fallen. Einige der wichtigsten Eigenschaften, auf die bei der Entscheidung geachtet werden sollte sind:

  1. T.e.a.m. – toll, ein anderer macht's: Der ADC sollte natürlich über die Fähigkeit zur SSL-Inspektion verfügen und diese auch durchführen können, ohne die allgemeine Rechenpower zu schwächen. Hier ist es ratsam, wenn der ADC die Kapazitäten der installierten Sicherheits-Appliances (zum Beispiel der Firewall) nutzt, die den entschlüsselten Traffic auch prüft. Damit bekommen Unternehmen die nötige Sicherheit, ohne sich mit den rechenintensiven SSL-Ent- und -Verschlüsselungsprozessen herumschlagen zu müssen.
  2. Als wäre nichts gewesen: Der ADC sollte als transparenter SSL Proxy agieren um SSL-Traffic abzufangen. Sowohl aus Sicht des Clients als auch der des Servers sollte immer noch eine durchgängig verschlüsselte Session, die nur innerhalb des Clientnetzwerks in einer geschützten Umgebung entschlüsselt wird.
  3. Ausdauernd und ausbaufähig: Der ADC sollte Load Balancing-Features haben, die Hochverfügbarkeit und Skalierbarkeit ermöglichen, um weitere Sicherheits-Appliances einzusetzen, die Sicherheits-Kapazitäten zu erhöhen und mehr Durchsatz verarbeiten zu können. So stellen die Unternehmen sicher, dass sie auch weiterhin mit der steigenden Bandbreite zurechtkommen werden.
  4. Kontrolle der Kontrolleure: Zu guter Letzt sollte der ADC auch dafür Sorge tragen können, dass die Sicherheits-Appliances auch ihren Job machen. Dazu sollten Monitoring-Funktionen verfügbar sein, die sicherstellt, dass die Sicherheits-Gateways wie gewohnt reagieren, und dass der Traffic durch verfügbare Appliances geschleust wird. Skriptbare Health-Checks sollten die Ansprechbarkeit mehrerer Sicherheits-Appliances anhand einer Vielzahl von Kriterien überprüfen können und den Traffic anschließend durch die beste Appliance schleusen, um die Vorgaben für Performance und Latenzen einzuhalten.

Wenn Sie mehr über effiziente SSL-Inspektion wissen wollen, dann vereinbaren Sie gleich einen Termin mit uns vom 21. bis 23. Februar auf der CiscoLive Berlin oder besuchen uns auf den Ständen 79 und 80 in der World of Solutions.

Hier ein kleiner Vorgeschmack:

Show Comments ()