Os sete mitos da encriptação SSL
A quantidade de tráfego de internet protegido por criptografia SSL está aumentando todos os dias – segundo o relatório de transparência do Google, quase 70% desse volume já é transmitido usando SSL e em quase a totalidade desse tráfego (86%) são usados métodos avançados, como Elliptical Curve Cryptography (ECC) e Perfect Forward Secrecy (PFS).
Não realizar a interceptação de SSL na rede gera uma série de ‘pontos cegos’ – o que compromete severamente qualquer política de segurança, já que dificulta a detecção de malwares e outras ameaças cibernéticas. Entretanto, muitas empresas seguem investindo em soluções de segurança sem a capacidade de inspecionar o tráfego criptografado e devemos nos perguntar a razão para isso. Muitas das vezes a interceptação não é realizada na rede porque há uma série de percepções equivocadas sobre SSL.Aqui, separamos o fato da ficção e compartilhamos sete mitos comuns associados ao SSL:
“O SSL é complicado, e interceptá-lo requer muitos recursos e prejudicará o acesso a minha aplicação. Além disso ele introduz novos riscos para as redes”
Hoje em dia já é possível que processadores SSL escalem facilmente mais de 100 mil conexões por segundo (CPS) em um appliance de uma unidade de rack (1RU). A tecnologia também permite processamento em hardware – através de soluções que utilizam ASICs (sigla em inglês para circuitos integrados de aplicação específica) dedicadas para tanto – economizando muitos ciclos de CPU em servidores de aplicação.
“Nós não esperamos aumento de tráfego SSL”
Algumas empresas afirmam que, à medida que estão em transição para o uso de aplicações de alto tráfego – como o Office 365 – seu tráfego SSL quase duplicou. A introdução de novas ferramentas de negócios requer uma melhor compreensão das novas demandas – e uma necessidade ainda maior de inspecionar o tráfego que está entrando em sua rede.
“Eu já sei o que está acontecendo com o tráfego da nossa rede”
Na realidade, muitos profissionais de TI não percebem o volume de tráfego criptografado na rede até que eles instalem (ou testem) soluções de criptografia SSL/TLS – especialmente aquelas que suportam protocolos diferentes do HTTPS e podem detectar SSL / TLS em portas distintas de TCP:443 ou TCP:4443. Soluções que suportem criptografia com alto throughput e quantidade de conexões pode dar garantia de proteção de ransomware às empresas em suas plataformas de e-mail.
“Eu já tenho uma solução de criptografia, então não preciso de um appliance dedicado”
Embora seja verdade que muitas soluções all-in-one podem processar o tráfego criptografado, muitas vezes habilitar tal funcionalidade significa uma degradação significativa de performance. Você pode sacrificar a segurança pelo desempenho ou vice-versa? Ter um dispositivo dedicado para criptografia SSL economiza processamento em seus outros equipamentos, o que significa que você não sofre com perda de performance e mantem sua política de segurança.
“Soluções de segurança geralmente apresentam despesas inesperadas. E se amanhã eu descobrir que preciso de uma nova funcionalidade ou licença para um IPS, Firewall ou web proxy – significa que terei que adquirir um novo equipamento para inspecionar o trafego SSL?”
Já existem muitas soluções no mercado que trabalham com funcionalidades nos modelos “sem licença”, tais como balanceamento de cargas e inspeção de texto simples (clear-text), livrando o planejamento de TI de custos adicionais com funções recém introduzidas. Busque por soluções com este novo modelo de negócio – pois permitem que você realize a inspeção uma vez e redistribua o tráfego em claro para várias soluções de segurança na rede.
“Preciso alterar minha topologia de rede para implementar novos dispositivos de interceptação SSL”
Não é verdade. A tecnologia evoluiu e hoje é possível integrar redes existentes, seja em Layer 2 ou 3, complementando diferentes produtos de segurança pré-existentes. Com um appliance dedicado aos serviços de descriptografia, ferramentas como Firewalls de Próxima Geração não precisam se preocupar e podem escalar suas inspeções, o que não seria possível de outra forma.
“Os dados criptografados são dados seguros e a interceptação SSL coloca suas chaves em risco”.
Existem soluções que oferecem HSM (sigla para Hardware Security Module) interno – todos com certificação FIPS 140-2 Level 3. Novas ferramentas permitem também a integração dos equipamentos para interceptação SSL com HSM de mercado que eventualmente possam já estar instalados no ambiente de uma empresa.
Tal integração permite uma proteção extra contra acesso não autorizado às chaves armazenadas dentro do processador criptográfico. Grande parte das ameaças se origina de sites legítimos e, segundo o Gartner, neste ano mais de 50% dos ataques direcionados às empresas deverão fazer uso do tráfego SSL. Portanto, é preciso sim inspecionar o tráfego SSL inbound e outbound, ampliando o escopo de segurança – com objetivo maior de manter a continuidade das operações.
* Daniel Junqueira é gerente de Engenharia de Sistemas da América Latina para A10 Networks, empresa de Serviços de Aplicações Seguras.