SSL可視化

AISVA(APPLICATION INSIGHT SSL VISIBILITY APPLIANCE)は、SSL Trafficに対する復号化および暗号化を提供することで、既存のセキュリティ装備で暗号化されたトラフィックについても強力なセキュリティポリシーが適用できるよう、SSLトラフィックに可視性を提供するSSL可視化専用アプライアンス製品です。

SSLとは ?

    SSLとは一種の暗号化通信です。正確に言うと、ブラウザを通じてサイトにアクセスするユーザーと、サイト間のセキュリティ性を提供する通信方式と表現することができます。しかし、SSL暗号化だけでは、進化するWeb攻撃に確実に対応することは困難です。さらに大きな問題は、暗号化トラフィックを攻撃して流入させる手口が次第に増加していることです。ガートナーは、今後、サイバー攻撃の50%が暗号化され、APT攻撃全体の80%が暗号化されると予測しています。

AISVAとは?

    AISVA(Application Insight SSL Visibility Appliance)は インラインの暗/復号化機能であり、単純な復号化だけでなく、検証済みのデータを再び暗号化してWebに伝達することで、既存のセキュリティ性を保持しながら、SSLに対応していない各種のセキュリティソリューション固有のセキュリティ機能等も遂行できるよう支援します。また、専用ハードウェア加速カードを通じて、2048bit認証書も円滑に処理できる高速パケット処理技術を含んでおり、クライアント側の内部認証書発行機能とサーバ側の認証書コピー機能を通じて、双方向の暗/復号化ができることが特徴です。

既存セキュリティ製品の限界?

      • 現在、ほとんどのセキュリティソリューションは、基本的な復号化機能に対応していません。ガートナーの調査によると、現在流通されているセキュリティ装置の20%のみがSSLトラフィックの復号化が可能であり、該当装備も、復号化機能を実行する際に、本来のセキュリティ性能が80%程度まで低下すると発表しています。そのため、SSL暗号化通信を安全に利用するには、トラフィック処理性能を阻害しない範囲でその暗号化トラフィックを確認することができる、SSL可視性装備が必要となりました。

SSL通信の可視化方法

    • • 様々な暗号化アルゴリズムに対応
      • 対応SSL/TLS: TLS1.0/TLS1.1/TLS1.2/SSL3
      • IPS, IDS, F/W など様々なセキュリティ装置と連動
      • IPv4, IPv6 網についても同様に可視性を提供
      • 全体トラフィックおよびSSLトラフィックモニタリング提供
      • ハードウエア障害時bypass機能
      • リアルタイムのモニタリング
      • 双方向の復号化が可能
      • 複数管理者機能

Active Inline モード(Inbound/Outbound構成対応)

• 最も汎用的に使用される動作モード
• SSL復号化が不可能なセキュリティシステム群とAISVA Activeポートとをインライン接続して復号化したトラフィックを送受信

Passive Inline モード(Inbound/Outbound構成対応)

• Out of Pathに構成されたセキュリティシステム(ログ収集サーバなど)へ復号化トラフィックを送信するモード
• 復号化トラフィックを受信するセキュリティシステムは、AISVAの Passiveポートに接続
• Active Inline モードとPassive Inline モードを同時利用可能

Passive Mirror モード(Inbound構成対応)

• Out of Pathに構成されたセキュリティシステム(ログ収集サーバなど)へ復号化トラフィックを送信するモード
• 復号化トラフィックを受信するセキュリティシステムは、AISVAの Passiveポートに接続
• AISVAは、Inline構成ではなくMirror構成になり、 コピー(Mirror)されたトラフィックを受信及び復号化

SSL Termination モード(Inbound構成対応)

• 既存のネットワーク構成変更を最小限にするモード
• 既存のネットワーク構成にInlineで繋ぎ、SSL トラフィックを暗号/復号化する構成

* すべてのモデルにSSLアクセラレータカードが装着されています。
* SSDは選択可能なオプションです。

*1: 以下の環境で実施

  • SSL version: TLSv1.2
  • Key size: 2048 bit
  • Cipher suite: AES128-SHA