ssl visibility appliance -...
TRANSCRIPT
HTTPSに代表されるSSL通信は年々増え続けているものの、通信の中身が暗号化されているために十分なセキュリティ対策を実施することが困難な状況です。次世代ファイアウォールやIPS、セキュアゲートウェイ(プロキシ)などの一部の製品は、SSL通信を復号する機能があるものの、専用アプライアンスでないためにパフォーマンスが低下してしまい実運用での導入が難しいケースも少なくありません。特にSSL通信の鍵長が512bit, 1024bit, 2048bit と大きくなるにつれてパフォーマンスが大きく低下してしまうケースが多く見られます。 また、逆に標的型攻撃に代表されるサイバーアタックでは、ファイアウォールやサンドボックス、フォレンジックなどのセキュリティ対策を回避するためにSSL通信を利用して実行されるケースが増えてきているため、SSL通信に対するセキュリティ対策が急務となっています。
既存のネットワーク構成を変更することなく、透過的にSSL通信の復号が可能!
ハイパフォーマンス
SSLのレイヤーのみを処理するため、上位のアプリケーションレイヤーのトラフィック内容に影響を与えません。
SSL通信部分のみ復号・暗号化する処理を実施するため、アプリケーションやプロトコルに依存せず処理可能。
SSL Visibility Appliance
電源をOFFにすることで通信をバイパスすることが可能。機器のメンテナンスや再起動時の影響を最小限に抑えます。
バイパスモード対応
IPSなどのインライン 構成で導入する機器
コピー
Network In Network Out
SandboxForensicなど のSPAN/TAP構成で
導入する機器
復号
Network In Network Out
暗号化
SSL通信を復号したパケットをインラインで転送、及びパケットをコピーして渡すことで、 各種セキュリティ対策機器による詳細な解析が 可能になります。 ※非SSL通信もすべて転送・コピーされます。
SSLで暗号化された通信は復号して転送・コピーされた後で、再度SSLで暗号化して出力されます。
転送
SSL通信を最大4Gbps、非SSL通信を含む全通信は最大40Gbpsまで処理可能。
利用シーン
Blue Coat Security Analytics Platformなどのフォレンジック製品を導入しているが、SSL通信の キャプチャデータが分析できなくて困っている。
FireEyeなどのSandbox製品を導入しているが、標的型攻撃がSSL通信で行われていないか心配。
SonicWALLなどの次世代ファイアーウォール製品ではSSLのスループットが出なくて困っている。
McAfee NSPのようなIPS製品を導入しているが、SSL通信の内容も検知対象にしたい。
特徴
Internet
Client PC
マクニカネットワークス株式会社 〒222-8562 横浜市港北区新横浜1-5-5 BlueCoat製品担当 電話:045-476-2010 E-mail:[email protected] 2015年4月 © Macnica Networks Corp. ●本カタログに記載の会社名および製品名は各社の商標または登録商標です。
ネットワーク構成例
社内ネットワークに設置する場合(フォワード環境)
フォワードの環境では機器をInlineで導入してSSLを復号し、Inline構成の機器にパケットを転送、及びSPAN/TAP構成で待ち受ける機器にコピーすることが可能です。この場合、機器がSSLのハンドシェイクを一旦終端し、SSLの証明書を動的に生成(Re-Sign)してクライアント側と通信を行いますので、クライアントには機器のCAの証明書を信頼されたルート証明機関として事前に登録しておく必要があります。
Internet
FireEye/ Security Analytics Platform
コピー
CN: macnica.co.jp CA: Globalsign
CN: 動的に生成 CA: SSL Visibility
Appliance
機器のCA証明書をクライアントに事前にインポートすることで、Re-Signされた証明書を信頼するように設定します。
Session 1
Session 2
CAの証明書を新規に作成 or 既存環境のCA証明書を利用してSSLセッションを終端するケース
データセンターに設置する場合(リバース環境)
リバースの環境でWebサーバの鍵と証明書がある場合、TAPモードとInlineモードのどちらかの構成で導入します。
Inlineモードで導入して、WebサーバのSSLの鍵と 証明書を利用してイSSLセッションを終端するケース
Web Serverの 鍵と証明書
Internet
IPS (Inline)
転送
CN: 動的に生成 CA: SSL Visibility
Appliance
モデル SV800-250M SV800-500M SV1800 SV2800 SV3800
Total Throughput (全通信)
8 Gbps 8 Gbps 8 Gbps 20 Gbps 40 Gbps
SSL Throughput (SSL通信)
250Mbps 500Mbps 1.5 Gbps 2.5 Gbps 4.0 Gbps
同時 SSL Flow States 20,000 20,000 100,000 200,000 400,000
SSL Flow Setups / Tear Down
1,000 per sec 2,000 per sec 6,500 per sec 9,500 per sec 11,500 per sec
筐体サイズ 1U 1U 1U 1U 2U
電源 Single 150w Single 150w Dual 450w Dual 650w Dual 750w
インターフェース 8x10/100/1000
Copper 8x10/100/1000
Copper
8x10/100/1000 Copper, or Fiber
2x10G-Fiber / 4x1G Copper /
4x1G Fiber (3Slots)
2x10G-Fiber / 4x1G Copper /
4x1G Fiber (7Slots)
モデル一覧
FireEye/ Security Analytics Platform
コピー
IPS (Inline)
転送
TAPモードで導入してSSLを復号化し、さらにSPAN/TAP構成で待ち受ける機器にコピーするケース ※この場合はInlineの機器に転送することはできません
TAP
Internet
FireEye/ Security Analytics Platform
コピー
コピー
Internet
Session 1
Session 2 CN: Gmail.com CA: GeoTrust
CN: bluecoat.com CA: Verisign
Web Serverの 鍵と証明書
CN: macnica.net CA: Verisign
CN: macnica.net CA: Verisign
Web Serverの 鍵と証明書
Web Serverの 鍵と証明書
CN: macnica.net CA: Verisign
CN: macnica.net CA: Verisign
Internet