Hoe veilig is uw Internetbusiness?

273129_h_ergb_s_gl

door Harry Driedijk |
 

De Heartbleed-bug en klokkenluider Snowden hebben ons gevoel van veiligheid op Internet flink geschaad. 100% veilig zal wel een utopie blijven, maar een zo hoog mogelijke niveau is van cruciaal belang voor de kwaliteit en het imago van uw Internetbusiness. Veiligheid is namelijk een primaire levensbehoefte, zowel in de echte als digitale wereld. 

Wat zit er in SSL-verkeer?

Secure Sockets Layer (SSL) en Transport Layer Security (TLS) zijn speciaal ontwikkelde encryptie-protocollen om onze communicatie op het Internet te beveiligen. Daarvoor worden zowel geavanceerde cryptografische methoden gebruikt, als digitale certificaten om de identiteit van websites te controleren. SSL wordt tegenwoordig door tientallen miljoenen websites gebruikt voor het beveiligen van de Internet-verbinding bij online shoppen, financiële transacties, of alleen maar het versturen van persoonsgegevens. Dat leek allemaal mooi geregeld totdat Snowden aan de bel trok en de Heartbleed bug werd ontdekt. Door een fout in OpenSSL, die veel webservices gebruiken voor de SSL-encryptie, bleek het mogelijk om via een kwaadaardig bericht een server te instrueren om de inhoud van het geheugen prijs te geven. Kort na het massaal patchen daarvan kwamen er echter meer OpenSSL-kwetsbaarheden aan het licht, zoals de mogelijkheid van een zogenaamde ‘Man-in-the-Middle’ aanval via een CCS-injectie. Dan ontstaat er bij IT-verantwoordelijken uiteraard de vraag, wat zit er met welke bedoeling in ons SSL-verkeer verstopt? Het ontdekken en dichten van dit soort gaten zal altijd wel een kat en muis spel blijven. Daarom is het verstandig dat datacenter- en systeembeheerders zowel de modernste technieken gebruiken, als een deel van hun verdediging naar de applicatielaag gaan verleggen.

Application Delivery Controllers

Door de snelle groei van cloud computing en Internetten vanaf mobiele apparaten, is de architectuur van bedrijfsnetwerken en datacenters de afgelopen jaren ingrijpend veranderd. Natuurlijk blijven een solide fundering en netwerkinfrastructuur belangrijk, maar als uw online deuren helemaal zijn dichtgetimmerd of moeilijk toegankelijk, mist u business en kan uw personeel niet meer werken. Dat is te voorkomen door zowel de performance als beveiliging van uw Internet-verbindingen te verhogen met Application Delivery Controllers (ADC’s). ADC’s zijn namelijk speciale netwerkapplicances die als taak hebben om servers te helpen met allerlei rekenintensieve taken en ze te beschermen. Zoals met een speciale Web Application Firewall (WAF) voorkomen dat inbrekers, hackers en andere niet-geautoriseerden toegang krijgen. Maar ook het sneller en nog veiliger afhandelen van SSL-verkeer. Bijvoorbeeld met SSL Proxy, waardoor alle binnenkomende beveiligde verbindingen eerst bij een ADC terechtkomen, in plaats van rechtstreeks bij de server. Vanuit de ADC zijn alleen correcte transacties of andere verzoeken naar eigen voorkeur wel of niet encrypted door te sturen naar de servers die ze moeten afhandelen. Omdat de servers en ADC's deel uitmaken van de 'veilige' netwerkomgeving van een organisatie, wordt die configuratie veel gebruikt. Zowel in grote bedrijfsnetwerken als de datacenters van hosting- en serviceproviders.

SSL-beheer

Harry Driedijk is Sales Director Northern Europe bij A10 Networks

ADC's hebben meer toegevoegde waarde te bieden om het gebruik van SSL veiliger te maken en sneller te verwerken. Bijvoorbeeld door via SSL Intercept de 'veilige communicatieverbindingen' tussen een organisatie en de buitenwereld inhoudelijk te controleren. Uiteraard moet u daarbij wel rekening houden met de privacywetgeving. Of door via de Perfect Forward Secrecy (PFS) functionaliteit van een ADC te regelen dat persoonsgegevens of andere vertrouwelijke gegevens nooit te bekijken zijn. Dan wordt die informatie namelijk met tijdelijke encryptiesleutels beveiligd. ADC’s worden tevens ingezet om het SSL-beheer eenvoudiger op één centrale plaats te kunnen uitvoeren. Daardoor zijn o.a. updates naar nieuwe encryptiekeys (1K, 2K, 4K), zowel eerder als sneller door te voeren dan op meerdere servers. Ook is het mogelijk om een betere sleutel of PFS te gebruiken van cliënt naar ADC en een andere sleutel van ADC naar de applicatie(server), om de server te ontlasten of als die nog geen PFS ondersteunt. Samengevat is het grootste voordeel van ADC’s het feit dat u daarmee bij de toegang tot uw netwerk of webservice met een enorme capaciteit al het Internet-verkeer in goede banen kunt leiden. Dus verzoeken van klanten en eigen personeel sneller afhandelen en niet-vertrouwde activiteiten of gerichte aanvallen afvangen, voordat ze uw bedrijfskritische servers en opslagsystemen überhaupt kunnen bereiken.