F5公司：SSL从加密到可控

随着2015年初IESG正式批准HTTP/2及HPACK标准，整个互联网界在不久的将来有望迎来自1999年以来最大幅度的速度、效率与安全性能的提升。我们知道，HTTP2.0的推出，源自于互联网形态在近些年产生的剧变，而HTTP2.0真正落地后，随着网速的提升、带宽成本的进一步下降，又将刺激互联网技术的进一步发展。

面对这样的技术更迭，数据安全策略是否也会发生变化，SSL的应用将会面临哪些挑战？在SSL加速与卸载以及SSL VPN方面耕耘多年的F5公司亚太区安全架构师金飞先生表述了自己的看法。金飞先生首先表示，在十年前，SSL 只是被金融机构和一些特定组织（如公共部门机构）用于安全性要求高的网站与服务的登录页面。如今，其应用范围已扩展至大多数基于 web 的服务，而且正快速成为实际的通信协议。根据 Gartner 的行业研究，到 2015 年末超过 50% 的全球互联网流量将会被加密。 此外，TLS （Transport Layer Security Protocol安全传输层协议）协议的推进乃至标准化，也使应用之间的通讯加密成为了可能。SSL与TLS被广泛接受确实从最大程度上保证了数据安全；但另一方面，随着HTTP2.0的到来，加密流量的使用不断增加，依赖防火墙、入侵防护系统和采用检测系统的传统方法可能无法继续满足需求。金飞强调：在未来，设备必须了解通过其本身的应用数据流，才能更加有效能的进行加密与解码。简言之，HTTP2.0时代的SSL与TLS应该具备流量可视性与智能可控性。

金飞先生认为，如防火墙这样的传统安全设备（如下图），并不是为SSL量身打造。

所以，当SSL数据量呈几何数提高时，设备可能会面临运算能力下降，甚至导致丧失安全防御功能。究其原因，是因为这些设备无法正确的“理解”SSL流量，尤其是应用流量。所以，利用第七层安全设备，在IT架构安全层前就执行SSL流量的智能解码、分配与导流，在提升安全性的同时，还可以降低其他安全设备的压力，同时提升效能。

这也正是F5被全球大量用户已验证有效的SSL优化方案。金飞先生表示，由于F5在应用交付领域的深厚积累，使得F5更加擅长处理应用流量的行为分析。举例来讲，传统方式下，当企业向外部用户发送内容，它需要使用设备卸载服务器的SSL流量，然后为流量插入保护。但是，传统设备可能无法区分一个银行账户查询的会话与一个简单的天气查询会话。随着现在应用种类的繁多，简单会话的流量加密会浪费大量的运算资源。通过F5，IT管理人员可以通过简单配置，使用F5设备对非核心应用解码，同时将核心或可疑流量转发至指定的安全设备上。F5的全代理架构支持无缝的转换和解密，同时还能为内部和外部通信部署独立连接。这种终止SSL会话的能力还可以使IT人员更简便的加密对外流量、以及按需使用旧的HTTP。IT人员无需中断和替换整个web应用基础架构就能从HTTP/2.0中获益。

金飞先生最后表示，网络威胁的发展一直与安全技术的发展同步。网络犯罪分子现在可以实现使用SSL绕过安全设备实施攻击。SSL流量内隐藏的恶意软件也能轻松绕过安全平台。Gartner预测，到2017年，超过50%的针对企业网络的攻击将使用SSL绕过安全设备。这也就意味着单纯的“加密”在HTTP2.0时代可能会面临更多的挑战。F5认为加强对应用流量本身的理解，从而做到可视、可控，才是应对“流量爆炸”所带来的安全隐患的合理解决方案之一。