随着越来越多的广域网优化供应商将其功能扩展到包括加密通信,企业IT高管需要做出一个决定:他们应该信任这些设备提供的安全性吗?
随着越来越多的广域网优化供应商将其功能扩展到包括加密通信,企业IT高管需要做出一个决定:他们应该信任这些设备提供的安全性吗?
与在远程数据中心的客户端和服务器之间通过SSL会话不同,一些WAN优化设备可以终止SSL会话,减少流量并为下一段行程重新加密。2020欧洲杯预赛这些加密会话链引入了不同供应商以不同方式解决的潜在漏洞。
Forrester Research的数据显示,SSL流量在广域网链路的总流量中所占的比例在不断上升。因此,WAN优化设备中的SSL支持对于希望保持流量安全、同时最小化WAN链接大小的企业将变得更加重要。
在上个月wan优化供应商对1300名IT高管的调查中蓝色外套系统在美国,三分之一的受访者表示,他们的广域网流量有25%是使用SSL的。在这些受访者中,45%的人计划在今年推出更多SSL应用程序。
多伦多Richardson Partners Financial Ltd.的技术服务主管安德鲁•麦金尼(Andrew McKinney)说,SSL在广域网的流量中约占三分之一。但如果只考虑紧急业务流量,这个比例就会高得多。他说:“对于关键的商业流量,都是加密的。”所以他使用Blue Coat Systems的设备来确保交通安全,并对其进行优化以获得良好的性能。
但首先,他把设备拿进来,盘问供应商代理链上每个节点的安全性,直到他认为代理链能保证公司数据的安全为止。他表示:“我们最大的担忧是,我们将控制缓存的内容。”他不想让敏感数据留在蓝外套设备的磁盘上。
“我们希望确保数据可以按照我们的要求进行刷新,但也要确保数据被安全存储。最后我们很满意,”麦金尼说。
到目前为止,只有三家供应商,蓝外套,Certeon和河床技术-在他们的设备上提供SSL加速,该功能也在路线图上瞻博网络和银色的峰值.
这样的设备位于广域网链路的两端,执行一些加速事务时间的功能。这包括优化TCP会话、实施QoS、字节级模式匹配和协议优化。
没有SSL支持,当SSL流量到达这些盒子时,它们只能使用TCP优化和QoS。
SSL支持依赖于终止SSL会话、解密存储数据段的流量以供将来参考并重新加密。稍后通过设备的流量将与这些段进行比较。当发送的数据匹配一个段时,设备发送一个缩写的引用,而不是较长的完整段,从而减少了必须穿过线路的通信量。
Riverbed的首席科学家马克•戴(Mark Day)表示,这些片段类似于将文件放入粉碎机。他说:“单个的部分仍然可以理解,但整个文件在某种程度上很难或不可能重新构建。”他说,担心这些数据段构成威胁的客户可以关闭SSL优化,让流量通过。
Blue Coat也不加密存储的片段,认为使用数据的困难使其实际上无法访问。Blue Coat战略营销总监克里斯•金(Chris King)表示:“它没有加密,但你将需要美国国家安全局(nsa)级别的人才,才能将信息从磁盘中取出。”
Certeon在磁盘上进行加密,将解密所需的密钥存储在WAN上它对面的设备上。这样,如果一个盒子被盗,磁盘上的数据是安全的。
在任何SSL代理架构中,服务器必须将其证书交给至少一个其他设备。在Blue Coat、Certeon和Riverbed的情况下,该设备是一个广域网优化器,位于数据中心内,在物理上与服务器本身一样安全。2020欧洲杯预赛这些证书的处理方式因厂商而异。
Blue Coat使用服务器端Blue Coat设备持有的服务器的公钥为其客户端设备创建会话密钥。服务器端设备使用服务器的私钥对通过广域网使用的会话密钥进行解密。
Riverbed还为远程SSL会话生成会话密钥,并通过两个步骤将其迁移到其客户端机器。Certeon代理服务器与其服务器端设备之间的连接,然后通过IPSec连接跨WAN传输流量。客户端Certeon机器为客户端机器创建一个单独的会话。
高德纳(Gartner)分析师乔•斯科鲁帕(Joe Skorupa)表示,SSL会话被代理的事实不应该吓跑任何人。例如,Akamai为其客户代理SSL交易——其中一些涉及电子商务,他说。斯科鲁帕说:“以前有这样做的先例,而且是在大量资金面临风险的情况下进行的。”但每个潜在用户都必须在速度需求和安全需求之间取得平衡。“客户对如何操作的敏感度会有所不同。”