Шифрование SSL / TLS: актуальные проблемы

Уровень защищённых разъёмов (SSL), он же протокол безопасных соединений, а еще более правильно называть его протоколом безопасности на транспортном уровне (TLS), становится подходом, принимаемым по умолчанию для защиты уязвимых данных в Интернете. Протокол SSL использует шифрование для обеспечения конфиденциальности данных для соединений между пользователями и вебсайтами или сервисами, которые эти вебсайты предоставляют. Огромное большинство уязвимого веб-трафика (такого как начальные экраны для входа пользователя в систему, страницы системной проверки на вебсайтах, на которых происходит электронная коммерция, и банковская деятельность в Интернете), шифруется с применением протокола SSL. В то время как организации могут бороться между собой за то, с чем и где использовать шифрование или использовать ли его повсеместно в пределах предприятия, необходимость использования протокола SSL для шифрования трафика в Интернете редко ставится под сомнение. Тем не менее, рост использования веб-приложений и облачных сервисов и даже необходимости в шифровании внутренних сетей набирает обороты в ряде соединений, выполняемых по протоколу SSL и в отношении соответствующих совокупностей связанных с протоколом SSL ключей защиты и сертификатов. Очень часто операционные трудности, с которыми сталкиваются организации в стремлении успевать за этим ростом в своих управленческих решениях, могут бросать тень на важные соображения, связанные с безопасностью. 

Читать далее

Протокол безопасности SSL опирается на главные ключи защиты и связанные с протоколом SSL сертификаты, которые идентифицируют стороны, вовлеченные в соединение между собой, и позволяет создавать уникальные криптографические ключи для каждой отдельной сессии связи. Как и другие криптографические ключи, главные ключи, привязанные к протоколу SSL, следует надежно защитить. Взломщик, который украдет ключ SSL, может имитировать ваш сайт и читать ваш трафик. При условии, что безопасность решений, связанных с протоколом SSL, непосредственно относится к безопасности ключей, организации, которым требуется высокий уровень надежности, могут желать принять дополнительные меры для защиты ключей SSL и процесса соединения через протокол SSL. Среди таких организаций могут быть банки и другие учреждения, которые обрабатывают транзакции, выполненные с помощью кредитных и дебетовых карт, провайдеры облачных сервисов, чья репутация и ценность сервиса зависит от высокого уровня безопасности, или любая организация, которая обменивается с другой компанией высокоценной информацией и использует для этого общественные или виртуальные частные сети. Одним из способов достичь более высокого уровня надежности является путь защиты криптографических ключей SSL в аппаратных защитных модулях (HSM); фактически для некоторых правительственных приложений эта защита формально предписывается в обязательном порядке. Эти специально разработанные аппаратные устройства могут также разгрузить веб-сервер или хост-сервер, сняв с них криптографическую обработку информации, и это позволит значительно расширить возможности и снизить нагрузку на центральный процессор. 

Скрыть раздел

Риски

  • Взломщики, которые получают доступ к ключам SSL, могут украсть конфиденциальную информацию, имитировать ваш сайт и нанести ущерб вашему бизнесу.
  • Ключи SSL, сохраняемые в программном обеспечении, могут быть уязвимы к атаке недобросовестного сотрудника.
  • Из-за того, что шифрование/расшифровка протокола SSL является ресурсоемким процессом, может снизиться производительность серверов и приложений, отличающихся большим объемом.
  • Операции, основанные на протоколе SSL, не просто лимитированы возможностями веб-серверов и бизнес-приложений. Все в большей степени соединения по протоколу SSL выполняются внутри сетевых устройств, через шлюзы инспекции трафика, межсетевые экраны, и другие устройства мониторинга производительности. Во всех этих случаях ключи нужно постоянно защищать.

Шифрование SSL / TLS: решения компании Thales e-Security

Продукты и сервисы, предлагаемые компанией Thales e-Security, могут помочь вам применить высокопроизводительное шифрование на основе протокола SSL в целях защиты вашего бизнеса и информации ваших клиентов, и в то же время обеспечивают эффективность, в которой нуждаются ваши важные веб-приложения. Модуль nShield HSM повышает ценность шифрования по протоколу SSL следующим образом:

  • Защищает главные криптографические ключи SSL, обеспечивая общую целостность процесса выполнения протокола SSL. Через стандартные интерфейсы API и благодаря заранее сертифицированной интеграции с обычными веб-платформами и инструментами SSL, разработчики и офицеры безопасности ИТ могут достигать более высоких уровней надежности путем защиты приватных ключей SSL и управления ими в безопасных границах модуля nShield HSM.
  • Этот модуль ускоряет сессию установления связи по протоколу SSL и сокращает время выполнения этих процессов на оптимизированных устройствах HSM. Для приложений с более значительным объемом, где скорость выполнения является критически важным фактором, вы можете значительно улучшить эффективность приложения путем выполнения соединения (сессии «рукопожатия») по протоколу SSL с помощью возможностей разгрузки серверов с освобождением их от громоздких криптографических операций за счет использования модулей HSM. Эта специально разработанная для протокола SSL обработка позволяет веб-серверу или хост-серверу выполнять больше соединений с Интернетом в единицу времени, делать это на более высокой скорости, и таким образом поддерживать общую мощность оборудования и минимизировать затраты на аппаратные средства.
  • Позволяет обезопасить все соединение, выполняемое по протоколу SSL. Для приложений, которые требуют максимальной защиты, специалисты по архитектуре могут выбрать комплектацию всего программного обеспечения для работы с протоколом SSL, и связанную с приложением логику внутри безопасных границ модуля HSM, воспользовавшись преимуществами сочетания таких средств, как модуль nShield HSM’, опция CodeSafe и протокол SSL.  
  • Позволяет добавить лишний уровень надежности для работы коммерческих устройств, которые выполняют соединения на основе протокола SSL. При условии, что выполнение соединения по протоколу SSL встроено во многие устройства различных типов, например, в шлюзы, межсетевые экраны, сетевые коммутаторы, балансиры нагрузки и другие устройства, торговые организации, продающие программные продукты, могут интегрировать модули HSM с этими устройствами и создать высоконадежные высоко производительные и сертифицированные по стандарту FIPS возможности работы по протоколу SSL.

Преимущества:

  • Обеспечивает целостность процесса шифрования/расшифровки по протоколу SSL с помощью независимо сертифицированных модулей HSM (стандарт FIPS 140 - 2 Уровень 3 и «Общие критерии» EAL4 +).
  • Облегчает составление отчетности по соблюдению стандартов путем использования стойких к вмешательству возможностей для генерации ключа и управления ключами, которые усиливают разделение обязанностей.
  • Достигает высокой доступности и улучшенной производительности сервера путем разгрузки оборудования от криптографических операций с передачей их на модуль.
  • Применяет недорогие эффективные решения для приложений любого объема (от малых до особенно крупных). Позволяет воспользоваться преимуществами выбора скорости и формирующих факторов, так что вы можете применять только то, что вам действительно нужно; модуль nShield HSM легко модернизировать, если изменятся ваши производственные нужды.