加密全站安全

图文回顾多层级DDoS防护系列讲座（一）：SSL无处不在

目前国内很多网站已经开始向SSL全站加密迈进，但在SSL部署过程中，流量的加解密面临重大挑战。F5本身作为S...

目前国内很多网站已经开始向SSL全站加密迈进，但在SSL部署过程中，流量的加解密面临重大挑战。

为了帮助用户更好地理解SSL并解决SSL部署难题，10月25日，F5举办了多层级DDoS防护系列讲座（一）：SSL无处不在的在线培训，与1290多名用户在线进行了长达1个小时的深度交流，为用户详细讲解F5作为SSL解密的一个战略控制点，如何帮助企业搭建可扩展、可编程的安全架构。

在今天的推送中，小编为大家还原了当天培训的部分精彩内容。如需收听完整的培训录音，可直接下拉到最后，点击“阅读原文”，前往F5千聊直播间开听。

以下为培训当天部分精彩内容

今天分享的主题是我们已经很熟悉的SSL。SSL无处不在这个概念在近一年左右的时间提得非常的多，这也反应了目前整个行业、用户、以及科技领域对安全方面的重视。

现在很多网站已经使用了SSL，那么市场上有哪些因素驱动我们把SSL部署到各个领域去？

大家首先想到的可能是斯诺登事件。斯诺登事件之后，大家对安全的关注度空前地高，很多用户会担心他们在访问互联网时，他的隐私、个人信息会被泄露；

除了类似斯诺登这样的事件外，另一方面，技术往往也在驱动着我们整个行业的上行。除此以外，对法律法规方面的遵循也在驱动SSL的部署。特别是一些金融类的网站，法律法规都会要求网站满足一些设定的条件条款，其中SSL加密就是非常重要的一条。

最后，还有一个驱动因素是我们个人更希望去访问一个加密的网站，或者说一个受保护的网络。我们会认为这些网站会更安全。近两年的315晚会一直在向大家宣传免费wifi热点的不安全性。而如果我们在公共场所使用wifi访问一个受保护的网站的时候，那么相对来说要安全的。所以从用户个人以及市场的角度来看，这也是一个非常重要的因素来驱动我们向SSL衍变的一个动力。

今天整个世界有25%到30%的流量是通过SSL加密的。根据预测，大约到2017年，预期会有70%的流量会通过SSL加密。从整个趋势来看，SSL的发展是非常快，整个行业对SSL的重视度非常高。

有统计指出，到了2017年，大约有50%的安全攻击，会通过SSL通道进行。那么这就带来了一个非常严重的问题，那就是，如果攻击都隐藏于SSL加密的通道，那么传统的很多安全设备将会面临一个很严重的挑战。

所以，SSL加密是一把双刃剑，对我们个人安全来说，它是非常重要的，但是对于企业的管控以及安全方面的探查是一个挑战。

SSL技术发展迅速，特别是随着物联网的发展，SSL加密趋势将越来越快。在物联网世界，用户在使用各种智能设备时，他们希望通过一个安全的通道，使用一个安全的链接来进行数据交换。

目前国内很多的网站、企业已经开始向全站SSL迈进。一些成立时间已经非常长的网站，譬如说像落伍者论坛，已经使用了全站SSL。而从行业分布来看，目前国内采用全站SSL加密的主要还是一些大型电商以及互联网技术使用率高的网站。

在整个互联网上面，能够帮助我们实现SSL整站流量加密的基础环境是有的，所以我们应该实时地去拥抱SSL。

我们刚才分享了SSL的趋势，那么到底什么是SSL无处不在？实际上，我们引用“零信任区域”的概念可能会更好说明。就是说，对互联网上的所有流量，我们理所当然的认为，所有流量都是加密的受保护的，那么这样的话，它才有可能是一个安全的网络环境。那么我们说的SSL everywhere目标，其实就是要实现整个流量的加密保护。

F5 SSL无处不在解决方案主要有两个方向，第一是入站方向，第二个是出站方向。这两个方向所使用的技术以及所解决的用户需求场景是不同的。下面我们具体看一看，在入站和出站这两个方向上，F5 SSL解决方案是什么样子的？

部署SSL，在入站方向上还是有很大挑战的，尤其是当服务器数量很大的时候。而如果我们能够将SSL向前推移到一个集中的控制点，那么事情就会变得简单一些。如果我们能够在，比如说像F5 LTM这样的一个集中控制点上进行部署，那这个时候我们就可以不关心，或者说我们就可以忽略掉异构平台的区别，而只关心在LTM这个集中控制点上如何去部署SSL证书，那么事情就相对变得简单一些。

刚才我们介绍了在入站方向上的一种解决方案。但事实上，无论是在入站还是出站方向上，加密技术同时带来了一个非常大的一个问题。

如果我们整个流量全部SSL加密了，那么我们购买的一些传统安全设备就会出现一个盲点。而我们就需要在这些安全设备上进行SSL的解密，否则的话，我们就没办法发挥这些安全设备的功能。但是在这些安全设备上进行SSL解密，一般来说会耗费比较大的性能的开销。

所以对于传统设备来说，流量还是一个非常大的挑战。如何去帮助我们保护我们传统的一些安全产品的投资，使得我们的这些投资既可以发挥它原有的功能，而且不损耗性能？这是我们在SSL加密之后需要考虑的。

下面我们来看一下，SSL流量加密之后，传统结构会变成什么样。

在这里我们先不讨论东西向或者是南北向的问题，在传统结构下，我们购买的防火墙类的设备，在经过加密的SSL流量之后，这些设备将无法看到SSL流量里面的东西。那么这就给了攻击者一个通道，他可以将攻击放入SSL流量里面，来避开传统设备的安全检查。

随着业务的发展，基于性能扩容或功能增强等需求，企业将不断的购买各种各样的安全设备。那么这些新设备如果也需要做SSL解密的话，这就会变成一件很麻烦的事情。那么，如何提供一个更好的可扩展的架构，这也是我们需要去考虑的。

了解F5产品的朋友们都知道，F5的产品包含了很多的功能模块，提供了很完美的一个安全性的考虑。在F5平台基础上，F5本身作为SSL解密的一个战略控制点，插入了很多的安全模块。这种情况下，有别于我们前两页ppt所讲的，我们就不太需要去考虑如何在各种安全设备上解密，而是统一的使用F5去进行流量解密，然后通过内部通讯技术，将相应的数据交付相应的模块进行安全处理。

F5在入向SSL加解密方面的优势主要在于：提供高性能的运营平台，同时提供了一个可扩展的架构，可以轻松扩展传统硬件设备以及硬件的安全结构。另外一方面，F5提供了一个可扩展的可编程的制度，使得我们可以充分的在数据通道上面去控制数据流量。

下面我们来具体看一下，F5在入向和出向方面对应的SSL解决方案内容。

THE

END