這是我們認為您想查看的頁面. 觀看搜尋結果:

Inline TLS 解密與加密

TLS/SSL 主動式 SSL

利用完整的可視化功能,全面監控所有加密流量,以便保護網路安全

已經擁有此產品? 瀏覽技術支援網頁

Keysight Inline Decryption

今天,絕大多數流量均經過加密,加上臨時密鑰已逐漸成為主流技術,因此企業需要一種有效的方法,來保留傳輸層安全性(TLS)1.3 的優點,並且檢查流量中是否存在威脅和惡意軟體,以保護其網路和使用者。

Keysight Inline Decryption 功能是 SecureStack 功能套件的補充,讓企業能夠透過其可視化平台,查看使用臨時密鑰進行加密的內部流量。 Keysight Inline Decryption 功能可用於 inline 和 out-of-band 工具,以便處理出口和入口流量,並且可與 NetStackPacketStackAppStack 功能搭配使用。 您可透過與 Vision ONE™Vision X 相容的獨立高效能應用模組獲得這項功能。這兩種統包式網路導流設備均提供高效能、無損的可視化功能。 Inline Decryption 採用專用的加密處理器;如與可視化解決方案整合在一起,可提供最佳的傳輸速率。 此外,它提供內建的政策管理、網址(URL)分類、支援所有主要的加密方式,並具有報告功能。

主動式 SSL

安全困境

SSL 統計資料

企業會將透過 Internet 交換的資訊加密,特別是信用卡號、身分證號碼等敏感資訊,以便保護自己和使用者的安全。FirefoxGoogle 公布的資料顯示,截至 2017 年,超過 75% 透過上述瀏覽器存取的網站,均已對網路流量進行加密, 如此可避免身分遭竊、出現安全漏洞,以及資料外洩。 然而,和特洛伊木馬程式一樣,惡意軟體和其他威脅也可能透過加密技術植入網路。 顧能集團(Gartner, Inc.)預測,到 2020 年,將有超過 60% 的企業無法有效地解密超文本安全傳輸通訊協定(HTTPS),進而「遺漏最具針對性的網路惡意軟體」。 此外,駭客也變得越來越聰明,某些形式的加密變得很容易遭到破解。

有兩種方法可以解決這個困境:

  • 使用更難被破解的加密技術
  • 根據企業的安全與監控政策,檢查所有加密流量中是否存在威脅

為什麼要使用臨時密鑰

安全通訊協定(SSL)和傳輸層安全性(TLS)均統稱為“SSL”,它們藉由對資料進行擾碼或「編碼」,以保護電腦網路通訊。 如右圖所示,該技術的運作原理是,交換經由公開金鑰(由伺服器提供)編碼過的資訊,接著透過 Internet 傳送資訊。 接收方(伺服器)握有私鑰,因此可將資料解密。

使用靜態密鑰的 RSA(Rivest-Shamir-Adleman)曾是主流加密技術, 在此架構下,伺服器握有一把用於將通訊加密的密鑰。 問題是,萬一這把密鑰不知何故遭竊,那麼經由該伺服器傳遞的任何通訊都將暴露無疑。 為了解決這個問題,許多企業和監管機構已轉而強制使用臨時密鑰來進行加密,最常用的是橢圓曲線 Diffie–Hellman 金鑰交換(ECDHE)法,它會在每次進行交換時產生一個新的密鑰。

基本 SSL

完全正向保密和 TLS 1.3

完全正向保密

您可將靜態鑰匙視為一把真實的鑰匙,如果這把鑰匙被盜或被複製,拿到鑰匙的人就可以任意存取所有受這把鑰匙保護的通訊。 相較之下,臨時密鑰就像是行動 app 針對某次交換所產生的一組號碼。 就算這組號碼被盜,那也只能用於解鎖該次資訊交換, 所有其他交換仍然受到保護。 正是這種完全正向保密特性,使得臨時密鑰成為主流技術。

包括 Google、Facebook、Mozilla 在內的科技巨頭,均相繼宣布改用臨時密鑰進行加密,以便為使用者提供更高的安全性。 TLS 1.3 是網際網路工程任務組(IETF)制訂的最新 TLS 協定標準,其已支援臨時密鑰交換。

Keysight Inline Decryption

卸載 TLS 解密

對網路流量進行一次解密和多次檢查,以擴充您的安全與監控基礎設施。 TLS 解密可能會占用工具 60-80% 的容量,也就是說,大部分時間工具都是在進行解密,而不是進行更重要的流量檢查。 此外,有些工具甚至無法解密 TLS 流量。

藉由卸載 TLS 解密,您可達成下列目標:

  • 大幅提升安全與監控工具的投資報酬率
  • 提高安全與監控工具的效能
  • 擴充安全與監控基礎設施
  • 全面洞察加密流量,即使是使用臨時密鑰加密的流量
僅需一次解密、可持續進行擴充

Inline 和 Out-of-Band(OOB)

Inline Decryption 可於 inline 和 out-of-band 工具中部署。

  • Inline:可在中途檢查進出網路的流量。 Inline Decryption 可將進入網路導流設備的資料解密,然後送入安全與監控工具。 檢查完畢後,工具會將資料轉送回網路導流設備,接著使用 Inline Decryption 功能將資料重新加密。 預設是使用相同的加密方法,但您也可以依照需求套用任何政策。 之後,資料會被路由回網路。 為了提供最高的安全性,這整個過程是透過 Active-Active 韌性架構中的旁路交換器完成的。 使用臨時密鑰重新將資料加密,可確保網路安全,同時還可檢查資料,真是一舉兩得!
  • Out-of-band:流量進入網路導流設備後,經過解密、複製,接著會傳送到 out-of-band 安全與監控工具。 這些工具使用解密的流量來產生警示。
  • 同步部署:Keysight Vision ONE 和 Vision X 讓您能同時使用 inline 和 out-of-band 模式。 因此,您可在同一部署中,使用適合不同模式的安全和監控工具。
Inline 和 Out-of-Band

無限可視性

如將 Inline 解密與 Keysight NetStackPacketStackAppStack 功能結合使用,您可獲得更大的靈活性和無限的可視性。

憑藉是德科技解決方案,您可將流量解密、裁剪封包、移除表頭,然後再將流量傳送到 out-of-band 安全工具。 如此可提高工具效率並延長使用壽命。 應用識別功能可將某些應用傳送給這些工具,或是從工具中排除這些應用,不論您是否使用 Data Masking Plus 來保護個人身分識別資訊(PII)。 您可根據地理位置、瀏覽器類型和應用類型,甚至是客製化 App 等條件,來選擇要將哪些流量轉送到 out-of-band 工具。

對於 inline 部署而言,Inline Decryption 完全透明,您無需在用戶端上手動配置 proxy。 藉由使用內建的負載平衡功能,以及偵測故障 inline 設備的心跳信號,您可維持高效能、韌性十足的安全部署,Vision ONE 或 Vision X 則可用於維護服務鏈,並卸載 TLS 解密和各種 Netflow 產生等任務。

同時使用多種功能,可確保最有效的安全政策執行,並且讓工具以最高效能運作。 如此還可延長安全與監控工具的使用壽命。 如搭配使用 Keysight 旁路交換器ThreatARMOR,可實現最佳安全部署,進而大幅提升可靠性和效率。

無限

輕鬆管理

Inline Decryption 功能易於配置和管理,可作為 Vision ONE 或 Vision X 網路導流設備設定與部署的一部分。

Vision ONE 和 Vision X 提供靈活的政策配置,可確保最高的安全性,並支援多個並行情境。

只需簡單修改授權,便可輕鬆升級為更高的傳輸速率。Vision ONE 提供 1G、2G、4G 或 10G 授權。 不需要額外的硬體,也不需要進行大規模升級以便變更配置,即可轉移授權。 Vision X 為每個 CPU 提供一個高達 25G 的授權。

輕鬆管理

即時洞察

Keysight Inline Decryption 可在螢幕上即時顯示分析資料,包括傳輸速率、連線和加密資料的詳細資訊。 您可將滑鼠移到特定資料上,以便觀看更詳細的資訊,確保您能隨時追蹤所有資料。 Inline Decryption 還提供錯誤和異常記錄等資料,以及歷史資料存取功能。

即時洞察

支援主要加密方式

Inline Decryption 支援 TLS 1.3 中列出的許多主要加密方式,支援的加密方式持續增加中。

支援的加密方式   KX AU ENC MAC
TLS13-AES-256-GCM-SHA384 TLSv1.3 - - AES-128-GCM AEAD
TLS13-CHACHA20-POLY1305-SHA256 TLSv1.3 - - AES-128-GCM AEAD
TLS13-AES-128-GCM-SHA256 TLSv1.3 - - CHACHA20-POLY1305 AEAD
TLS13-AES-128-CCM-8-SHA256 TLSv1.3 - - AES-128-CCM AEAD
TLS13-AES-128-CCM-SHA256 TLSv1.3 - - AES-128-CCM-8 AEAD
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 ECDH RSA AESGCM(128) AEAD
ECDHE-ECDSA-AES128-SHA SSLv3 ECDH ECDSA AES(128) SHA1
ECDHE-RSA-AES256-SHA384 TLSv1.2 ECDH RSA AES(256) SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 ECDH ECDSA AES(256) SHA384
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 ECDH ECDSA AESGCM(128) AEAD
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 ECDH RSA AESGCM(128) AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 ECDH ECDSA AESGCM(128) AEAD
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 DH RSA AESGCM(128) AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 DH RSA AESGCM(128) AEAD
ECDHE-RSA-AES128-SHA256 TLSv1.2 ECDH RSA AES(128) SHA256
ECDHE-ECDSA-AES128-SHA256 TLSv1.2 ECDH ECDSA AES(128) SHA256
ECDHE-RSA-AES128-SHA SSLv3 ECDH RSA AES(128) SHA1
DHE-RSA-AES256-SHA SSLv3 DH RSA AES(256) SHA1
ECDHE-RSA-DES-CBC3-SHA SSLv3 ECDH RSA 3DES(168) SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 ECDH ECDSA 3DES(168) SHA1
AES128-GCM-SHA256 TLSv1.2 RSA RSA AESGCM(128) AEAD
AES256-GCM-SHA384 TLSv1.2 RSA RSA AESGCM(256) AEAD
AES128-SHA256 TLSv1.2 RSA RSA AESGCM(128) SHA256
AES256-SHA256 TLSv1.2 RSA RSA AES(256) SHA256
AES128-SHA SSLv3 RSA RSA AES(128) SHA1
AES256-SHA SSLv3 RSA RSA AES(256) SHA1
ECDHE-RSA-AES256-SHA SSLv3 ECDH RSA AES(256) SHA1
ECDHE-ECDSA-AES256-SHA SSLv3 ECDH ECDSA AES(256) SHA1
DHE-RSA-AES128-SHA256 TLSv1.2 DH RSA AES(128) SHA256
DHE-RSA-AES128-SHA SSLv3 DH RSA AES(128) SHA1
DHE-RSA-AES256-SHA256 TLSv1.2 DH RSA AES(256) SHA256
ECDHE-ECDSA-CHACHA20-POLY1305 TLSv1.2 ECDH ECDSA CHACHA20/POLY1305(256) AEAD
ECDHE-RSA-CHACHA20-POLY1305 TLSv1.2 ECDH RSA CHACHA20/POLY1305(256) AEAD
DHE-RSA-CHACHA20-POLY1305 TLSv1.2 DH RSA CHACHA20/POLY1305(256) AEAD
CAMELLIA128-SHA256 TLSv1.2 RSA RSA CAMELLIA(128) SHA256
CAMELLIA256-SHA256 TLSv1.2 RSA RSA CAMELLIA(256) SHA256
DHE-RSA-CAMELLIA128-SHA256 TLSv1.2 DH RSA CAMELLIA(128) SHA256
DHE-RSA-CAMELLIA256-SHA256 TLSv1.2 DH RSA CAMELLIA(256) SHA256
  • Customer Quote Icon

    「隨著 TLS 1.3 標準開始部署臨時密鑰,企業將發現,解密和檢查加密流量的程序變得更複雜,需要耗費大量資源。 Inline Decryption 這類解決方案可協助企業有效率地洞察目前的網路流量,並且減少對網路、監測工具和安全設備的干擾。」

    ESG 分析師 DAN CONDE

透過 Inline Decryption 強化 Inline 安全防護

Inline Decryption 可與是德科技故障復原安全架構進行無縫整合,以簡化 inline 部署。 如搭配使用是德科技威脅情報閘道器 ThreatARMOR™,Inline Decryption 可建立更穩健的 inline 架構,以阻擋有問題的網際網路協定(IP)、處理加密流量,並透過 Active-Active 高可用性配置保護您的網路,確保持續的流量檢測和近乎即時的恢復。

Inline 安全防護架構

相關資訊

Data Sheets 2024.03.05

Vision ONE (Model: Vision ONE) Network Packet Broker

Vision ONE (Model: Vision ONE) Network Packet Broker

Amplify your security without changing a cable. Keysight Vision ONE provides IT Operations the ability to deploy resources where they are needed most and secure any traffic in their network. Keysight Vision ONE acts as the first step to security, providing reliable inline connectivity for security tools such as intrusion prevention systems (IPS), data loss prevention (DLP), and Web firewalls. It simultaneously connects out-of-band monitoring tools like intrusion detection systems (IDS) and data recorders. Integrated intelligence features enable you to access encrypted traffic using inline or out-of-band decryption, reduce analysis traffic using advanced packet processing, and precisely select traffic by application type, and geography. Keysight Vision ONE forwards selected traffic in a variety of formats to interoperate with any security tool.

2024.03.05

Data Sheets 2024.04.24

Vision X (Model: Vision X) Network Packet Broker

Vision X (Model: Vision X) Network Packet Broker

Keysight’s Vision X is the next-generation network visibility solution. It delivers expandability and flexibility that meets the ever-evolving needs of the data center. Vision X is a high-density, modular chassis comprised of customizable front modules and multi-speed port choices. It also supports a rear, advanced packet processing module, extending the total packet processing capacity of the chassis. With a small data center footprint, Vision X conserves both power and rack space. Its footprint, along with its upgradable chassis, will improve your overall ROI now and in the future.

2024.04.24

Solution Briefs 2022.01.04

Offload SSL Decryption to Improve Security Tool Performance

Offload SSL Decryption to Improve Security Tool Performance

While many security tools include the ability to decrypt traffic so that incoming data can be analyzed for security purposes, this comes at the expense of CPU performance - which can dramatically slow a security appliance's processing capability. Learn how you can use a network packet broker (NPB) to offload SSL decrypt functionality and increase the performance of your security tools.

2022.01.04

Solution Briefs 2022.01.19

Offload SSL Decryption to Extend Firewall Life

Offload SSL Decryption to Extend Firewall Life

Read this solution brief to see how you can use a network packet broker (NPB) to direct SSL-based traffic to a purpose-built decryption device to eliminate the issue.

2022.01.19

Solution Briefs 2022.01.20

Offload SSL Decryption to Extend Monitoring Tool Life and Value

Offload SSL Decryption to Extend Monitoring Tool Life and Value

Learn how you can implement a cost-effective solution by deploying a network packet broker (NPB) with integrated SSL decryption capability.

2022.01.20

Solution Briefs 2022.01.21

How to Get Ready for TLS 1.3: Keysight’s 10-Point Checklist

How to Get Ready for TLS 1.3: Keysight’s 10-Point Checklist

Adopting the IETF’s newly approved Transport Layer Security (TLS) 1.3 standards for securing encrypted data has far-reaching implications—and powerful benefits—for security and monitoring infrastructures. Download Keysight’s 10-Point Checklist to help your IT team prepare.

2022.01.21

White Papers 2023.03.14

Best Practices For Monitoring Encrypted Data

Best Practices For Monitoring Encrypted Data

Once used to increase the security of Internet traffic, encryption has actually made the work more difficult. Many firewalls and other security tools do not understand encrypted traffic and many organizations have chosen to pass encrypted traffic into their networks without security inspection, just to keep communications flowing. Unfortunately this creates blind spots in network visibility – areas where the organization is unaware of the traffic moving inside and exiting the network.

2023.03.14

是德科技客服中心提供您需要的協助

聯絡我們