iT邦幫忙

0

加密(SSL/TLS流量管理上是採用專屬流量管理設備或是採次世代防火牆納管?

  • 分享至 

  • xImage

各位先進 好,
目前Web https封包普及,想請教大家資安管理上的經驗
1.多數公司資安上是否都已普遍啟用ssl加解密過濾處理管控了呢?
2.依管理使用經驗,會建議採用獨立(專屬)的加解密流量管理設備呢?
還是會建議由次世代防火牆啟用此功能去處理呢?
3.次世代防火牆啟用後效能要能因應加解密的能力,
而去提升防火牆的等級所衍生的費用,跟採購專屬加解密設備的費用,方式孰佳呢?

rb1102 iT邦研究生 2 級 ‧ 2023-08-21 00:26:53 檢舉
我自己的fortigate是只有開啟certificate檢查,開SSL深度檢查要搞CA之外,我還遇到Line連線異常的問題(應是還有哪裡沒設定好)
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
sd3388
iT邦好手 1 級 ‧ 2023-08-21 18:48:07
最佳解答

1.多數公司資安上是否都已普遍啟用ssl加解密過濾處理管控了呢?

因為不能替其他人發言,但感覺是很少數,但敝公司是有採用

2.依管理使用經驗

會挑選適當的次世代防火牆去處理,所謂適當的是指有專屬加速晶片,而不是有些產品的NP加速晶片,另外挑SI更重要,不是有名就合適

3.設備的費用,方式孰佳呢?

沒有正確答案,但是次世代防火牆確實TCO擁有成本較低,包括技術上的養成與實施

特別善意提醒以下幾點
1.有NGFW稱提供SSL加解密資安掃描,但其實僅在封包表頭,不含內容
2.有NGFW稱有加速晶片,但其實都只是網路加速,而不是SSL專屬加解密晶片
3.有沒有專屬加解密晶片效能差很多,請仔細查閱型錄,如能找到晶片架構圖則更佳
4.不論專屬設備或NGFW,首先要對網路內容層管理要很熟悉設定,設備上SSL相關設定都需要NGFW上政策設定做配合
5.仍然老話一句,設備買很容易,找到有技術又願意提供技術服務的廠商比較重要

Ya Ya iT邦新手 5 級 ‧ 2023-08-22 19:05:52 檢舉

感謝指導與提供寶貴意見
https://ithelp.ithome.com.tw/upload/images/20230822/20161808s9ICk6a8Ot.png

0
海綿寶寶
iT邦大神 1 級 ‧ 2023-08-20 08:57:12

接下來該不會要提產品名稱了吧
/images/emoticon/emoticon16.gif

2
Ray
iT邦大神 1 級 ‧ 2023-08-20 09:37:55

流量 (Traffic) 跟加解密有何關係? 我不需要解密也可以控管流量大小和優先順序啊...
想要管內容 (Content) 才需要解密吧?

命題錯誤, 所以沒有解答...

Ya Ya iT邦新手 5 級 ‧ 2023-08-21 10:19:54 檢舉

謝謝更正,主要是以此文件為出發點,想請教大家實務經驗選擇
https://www.ithome.com.tw/tech/121794

0

1.多數公司資安上是否都已普遍啟用ssl加解密過濾處理管控了呢?

完全不懂您想問啥。去哪邊找這些一知半解的名詞啊?

2.依管理使用經驗,會建議採用獨立(專屬)的加解密流量管理設備呢?
還是會建議由次世代防火牆啟用此功能去處理呢?

關防火牆何事?也沒這必要。

3.次世代防火牆啟用後效能要能因應加解密的能力,
而去提升防火牆的等級所衍生的費用,跟採購專屬加解密設備的費用,方式孰佳呢?

同上,問題完全搭不上。完全對不上。答案出不來。無解。

Ya Ya iT邦新手 5 級 ‧ 2023-08-21 10:21:25 檢舉

謝謝指導,之前看過此份文件,想請教大家實務經驗選擇
https://www.ithome.com.tw/tech/121794

0
CyberSerge
iT邦好手 1 級 ‧ 2023-08-22 10:08:24

你問的三個問題,所引用的文章其實已經解釋得很清楚了
https://www.ithome.com.tw/tech/121794

1.多數公司資安上是否都已普遍啟用ssl加解密過濾處理管控了呢?

看公司IT人員和廠商規劃的能力,實際上會遇到一些難題,例如某些金融網站必須要bypass,不能進行解密/加密的過程。

2.依管理使用經驗,會建議採用獨立(專屬)的加解密流量管理設備呢?
還是會建議由次世代防火牆啟用此功能去處理呢?

引用的文章已列出兩種方法的優缺點;基本是看網路架構和鈔能力。前輩們也提出幾個需要注意的地方

3.次世代防火牆啟用後效能要能因應加解密的能力,而去提升防火牆的等級所衍生的費用,跟採購專屬加解密設備的費用,方式孰佳呢?

引用的文章中有提到三明治架構,所以這裡要先問:企業內部是否有其他資安設備可以接收專屬加解密設備解開後的流量進行分析/阻擋?如果沒有,那等於是要買專屬加解密設備再加上資安防護設備

Ya Ya iT邦新手 5 級 ‧ 2023-08-22 19:11:52 檢舉

感謝指導受益了

我要發表回答

立即登入回答