六個阻止惡意SSL通訊的要點

SSL的使用每年都在穩定增長。將來會有越來越多的互聯網通信都會被加密。不幸的是，不僅注重安全的公司和用戶在利用加密，***們也在使用加密來隱藏其惡意企圖。雖然有很多防火牆和威脅預防方案能夠解密SSL通信，卻不能跟上不斷演變的解密需求。如果***進入企業網絡，遭受***的企業就會面臨故障和宕機、收入降低、客戶丟失、知識產權失竊等，還要花費高昂的成本來修復損害和對聲譽的破壞。
嚴酷的事實是，如果不部署SSL的檢查，企業就面臨被***的風險。***可以隱藏在加密通信中，並***到企業網絡，安裝惡意軟件，並從多個終端竊取數據。對付惡意的加密通信的最佳防禦是滿足一定要求的SSL檢查平臺。需要注意的是，在SSL檢查合作伙伴時，企業尤其需要關注性能、合規、可用性、安全性。
有效的SSL檢查平臺應當做到：
1.滿足SSL的性能要求
在企業的任何新方案中，性能都是至關重要的，但是隨着企業的負載日漸增長，性能的重要性尤其突出。爲確保SSL的性能檢查滿足目前和未來的需要，企業需要做到如下方面：
用2048位和4096位的SSL密鑰來測試SSL檢查的速度；
用Diffie-Hellman密鑰交換算法和ECC來評估通信；
確保平臺能夠處理吞吐量需求，並有額外的能力可以應對峯值通信。
2.滿足合規要求
企業面臨着滿足多種合規標準的任務。合規意味着很多企業(例如金融和健康醫療領域)必須過濾敏感通信。爲了確保在檢查SSL通信時保持合規，IT安全團隊應當關注能夠做到如下兩方面的平臺：首先是對Web通信進行分類，要確保機密數據(如傳輸到健康和金融網站的通信)的加密；其次是支持自動更新以及人工定義的URL過濾清單。
3.支持複雜的部署要求
爲全面解決所有安全問題，多數企業都部署了來自多個廠商的多種安全設備。SSL檢查平臺應當能夠解密所有這些設備的通信。爲此，企業必須：解密發送到互聯網的通信以及進入公司服務器的通信；智能地將通信轉發到多個安全設備；集成領先廠商的多種安全解決方案。
4.使安全基礎設施的正常運行時間和功能達到最大化
安全基礎設施必須正常運行，並且完全可用，從而阻止網絡***和防止數據泄露。如果安全基礎設施無法正常運行，就無法檢測到威脅，導致惡性***、收入減少、品牌損失。有效的SSL檢查平臺應當使已有的安全基礎設施的正常運行時間最大化。企業應關注能夠具備如下特性的平臺：
擴增安全部署實現負載均衡;
檢測和繞過失效的安全設備，避免網絡失效;
支持高級監視，快速確認網絡或應用程序的錯誤。
5.安全地管理SSL證書和密鑰
SSL證書和密鑰形成了加密通信的信任基礎。如果SSL證書和密鑰遭受破壞，***者就可以用來竊取數據。SSL檢查平臺能夠分析出站和入站的SSL通信，必須能夠安全地管理大量的SSL證書和密鑰。有效的SSL檢查平臺應當：保護存儲在SSL檢查平臺上的SSL密鑰，並於能夠發現和控制證書的第三方SSL證書管理方案實現集成;
6.解密所有符合標準的加密通信
不僅加密通信量在不斷增長，企業和***者所使用的加密複雜程度也在提升。企業可以使用4096位的SSL密鑰、ECC(橢圓曲線密碼)、PFS(完全前向保密)及其它技術來防禦竊取者。爲此，SSL的檢查平臺必須：支持4096位的SSL密鑰長度和高級SSL和TLS加密；解密所有數據，包括SSL的轉發；如果通信無法被解密，就通知用戶。
結語： 企業對付惡意的加密通信的最佳防禦是，確保已經部署了滿足上述六個關鍵標準的SSL檢查平臺。依靠不滿足這些要求的系統可能會打開企業部署缺陷的大門，並給企業帶來威脅。