”SSL Interception”を導入することによって、暗号化通信のインスペクション以外に、どのようなメリットが得られるでしょうか?

セキュリティチェーンを一気通貫

セキュリティデバイスの中には、SSLトラフィックへのインスペクションの為に、SSLデコード/再コード(復号/再暗号化)に対応しているものもありますが、すでにセキュリティデバイスを複数運用しているユーザが、SSL対応を行う場合はどうでしょうか?

ArrayのAPV/vAPVを導入することで、既存セキュリティデバイスの運用をそのままに「Decrypt Once, Inspect Multiply」を実現できます。

柔軟な構成

IngressおよびEgressの両モジュールは、APV/vAPV上でのコンフィグレーションによるポリシーです。平文トラフィックを転送するセキュリティデバイスの種類に併せ、柔軟な構成が可能です。

Integrated モード (WAF, IPS, フォレンジック向け)

1台のAPVで構成。WANに向かう途中経路で、検査対象のプロトコルのみを、ポリシールーティングでセキュリティデバイスに転送するケース。SSL以外の検査対象プロトコルにもポリシー設定が必要。対象外となる通信は、APVがルーティングする。

Distributed モード (Firewall, UTM向け)

2台のAPVで構成。セキュリティデバイスが、自身を境界として、セキュリティレベルの異なるゾーンを形成するケース。SSLトラフィックのみポリシーを設定し、他の通信は通常ルーティングされる。

セキュリティレベルの管理

SSLによる暗号化通信が開始されるまでに、クライアントとサーバは、ネゴシエーションを行い、証明書、鍵交換、暗号アルゴリズムといった要素を交換します。鍵交換方式や暗号アルゴリズムは「Cipher Suite」というパラメータで扱われます。クライアントのソフトウェアでサポートされているCipher Suiteの種類が統一されていなかったとしても、WANに出る際には、APV/vAPVは自身がサポートする中で最も高セキュリティな種類のCipher Suiteを用いて、サーバとのSSL通信を確立するので、セキュリティレベルの管理が可能になります。

ArrayのAPVシリーズでは、最新のECC方式のSSLも、アクセラレータで高速処理が可能です。また、セキュリティデバイスがリプレースされた場合でも、このポリシーは引継ぎが可能です。

リニアなパフォーマンス増強

APV/vAPVは、ロードバランシング機能も備えているため、複数のセキュリティデバイスに対する負荷分散を同時に実施することで、可用性と性能強化も実現できます。

負荷分散は、セッション単位で管理され、戻り方向のトラフィックは「RTS(Return to Sender)」機能で、確実に同一のセキュリティデバイスに転送されます。

但し、このケースではセキュリティデバイス間のステートフルな切替りは出来ません。

このように、SSL Interceptionを導入することにより、「既存セキュリティデバイス本来の機能や性能を引き出せる」こと、「既存セキュリティデバイスを活用することによる投資保護や運用ポリシーの継続」をはじめとして多くのメリットが得られます。さらに詳しく知りたい方は、弊社までお問合せ下さい。

SSL Interceptionを
実現する製品はこちら

専有型ハードウェアアプライアンス

アプリケーションデリバリコントローラ

ネットワーク専用仮想基盤

ネットワークファンクションプラットフォーム

(仮想アプライアンスvAPVを併用します)