はじめに

SSL暗号化は、インターネット セキュリティを確保するための基本的なテクノロジーです。電子メール、e-コマース、Voice-over-IP、オンライン バンキング、リモート医療、その他数えきれないほどのサービスが、SSLによってセキュリティを維持しています。しかし、多くのセキュリティ ツールおよびパフォーマンス監視ツールは、暗号化セッション内部を把握する機能を持ち合わせていないため、大半のトラフィックが検査されることなしに通過している状況となっています。ネットワーク上でどのアプリケーションが実行されているかという点を把握できなければ、アプリケーションパフォーマンスやネットワークの利用パターンを監視することは不可能です。さらに悪いことに、一旦マルウェアが SSLセッションを確立してしまうと、セキュリティツールでは検出できなかったり、トラフィックをブロックできなくなるなど、確実にマルウェアのアクティビティが隠蔽されます。つまり脅威の矛先は、Webのセキュリティを保証すべきテクノロジーそのものに向けられているのです。

SSLトラフィックを復号化するためには、暗号化に使用したキーを把握している必要があります。公開鍵はトランザクションの開始時に明確に認識できますが、秘密鍵へのアクセスは管理者によってコントロールされています。

主なカスタマー アプリケーション

様々なアプリケーションがSSL復号化を必要としています:

  • マルウェアの検出 - マルウェアがホストへの侵入に成功すると、SSLトランザクションを使用してキルチェーンを確立します。
  • データ漏洩の防止: マルウェアが実行する場合でも、また企業のファイアウォール内からユーザー実行する場合でも、SSL接続を介して機密データやファイルが暗号化され漏洩する可能性があります。
  • アプリケーション パフォーマンスの監視 - 重要なビジネス アプリケーションは、認証にSSLを使用しているため、適切なパフォーマンス監視で必要となるデータが隠蔽されます。
  • クラウドサービスの監視 - Webアプリケーションを含め、クラウドで実行されるセキュアなサービスは、TCP/IPレイヤーではまったく同様に見え、SSLセッションを復号化しなければ区別して監視することができません。

既存のソリューション

直接SSL復号化を行うことができる監視ツールもあります。しかしこのようなソリューションは、重大なパフォーマンス劣化を引き起こす傾向があり、価格もまた非常に高価なものとなります。一方、ソリューション内での復号化をやめれば、十分なパフォーマンスを発揮できるだけでなく、異なるソリューションで個々に復号化を行うためのライセンスも不要となります。さらに、特定のセキュリティア プライアンスのみで SSL復号化を行なえば、アプリケーションのパフォーマンス監視などを行う他のツールに影響を与えることもありません。Gigamonは、いずれに対しても同時に復号化トラフィックを提供します。ネットワークに接続された監視ツールやセキュリティ ツールに対して共通な SSL復号化サービスを提供すれば、インフラストラクチャ全体の効率やセキュリティ、パフォーマンスを最大化できることは明らかです。

SSLプロキシやアプリケーション ロードバランサーなど、既存のインライン テクノロジーでは、 SSL復号化機能を提供していますが、可視化アーキテクチャに向け最適化されいる訳ではありません。これらのテクノロジーは、ネットワーク全体のTAPから収集したトラフィックを処理したり、復号化した結果をフィルタリングしたり、複数の監視ツールに配布するといった機能を持ち合わせていません。また、モジュラー性や拡張性には限界があるため、SSLのスループットを向上するためには、通常新しいハードウェアが必要になります。さらに、非復号化トラフィックに対する可視化機能やトラフィックインテリジェンスも備えられていません。

Gigamonソリューション

GigamonのVisibility Fabric™は、双方向のトラフィックにアクセスし、トランザクション開始時に公開鍵のやり取りを確認します。一旦管理者が秘密鍵を読み出すと、その鍵はシステム上で安全に保存されます。GigaSMART®トラフィック インテリジェンス エンジンは、トラフィックを復号化して分析用のツールに転送します。各 GigaSMARTモジュールには、SSLトラフィックを処理するハードウェア パフォーマンス アクセラレータを備えた高性能処理エンジンが含まれています。

SSL復号化は、特定の着信ポートや、Visibility Fabric内でGigaSMARTエンジンが置かれている箇所だけを対象に実行されるものではありません。Gigamon可視化ノードのクラスター上にある全てのネットワークポートで受信したトラフィックが、SSL復号化の対象になります。また、該当トラフィックは、クラスター内のどんなツールポートに対しても送信することができます。クラスター内の各ノードで復号化機能を持つ必要がないという点で、これは重要な意味を持ちます。追加したFlow Mapping®やGigaSMART内アプリケーションでも、復号化トラフィックを受信することができます。さらに、クラスターにGigaSMARTモジュールを追加することで、SSL復号化のスループットをより向上させることができるため、SSL処理要件の拡大に合わせ検査範囲を拡大することが可能となります。

SSLトラフィックには機密性の高いユーザーデータが含まれている場合があるため、これらのデータのセキュリティ確保にあたっては、特に注意が必要となります。パケットを復号化した後、スライシングにより不要なデータや個人のペイロードデータを削除したり、ペイロード内のフィールドをマスキングすることができます。いずれの場合も監視ツールは、個人データの保存、読み込み、または分析を行うことができません。これによって、ネットワークのコンプライアンスを遵守し、監査プロセスを大幅に簡素化することができます。

セキュリティにおけるコンプライアンスを維持するためには、秘密鍵の適切な処理が不可欠となります。Gigamonでは、管理者が指定したユーザーのみに、鍵のアップロード、変更および削除を許可しています。それぞれの鍵は、汎用のシステム管理パスワードとは別の特別なパスワードを使用して復号化されます。

主な機能

  • 業界で初めて、SSL復号化機能をUnified Visibility Fabricアーキテクチャに統合
    • Visibility Fabric内のどんな箇所からのトラフィックについても復号化し、接続しているツールに送信することが可能
    • Flow Mappingによって、ポート443上のフローだけでなく、どんなユーザー定義フローについても復号化機能に転送することが可能
  • 拡張可能な高スループットのソリューション
    • GigaVUE-HD4/8: 400万セッション、GigaSMARTブレードあたり5Mpps/秒
    • GigaVUE-HC2: 200万セッション、GigaSMARTモジュールあたり2.5Mpps/秒
    • GigaVUE-HB1: 50万セッション、0.6Mpps/秒
  • SSLv3、TLS 1.0、1.1および1.2のサポート
    • 公開鍵: RSA
    • 非対称鍵アルゴリズム: AES、3DES、DES、RC4、CAMELLIA、SEED、IDEA
    • ハッシング アルゴリズム: MD5、SHA1、SHA2
    • サポート対象アプリケーション: HTTPS、FTPSおよびSMTP、IMAP、POP3 with StartTLS
    • サポートされる鍵のサイズ: 128、256、512、1024、2048および4096
  • SSL復号化統計情報
    • アイドル状態のセッションと再利用可能な鍵
    • セッションレベルの統計情報: パケット、廃棄、エラーパケット、再開
  • 秘密鍵保存の安全性確保
    • 個別パスワードによる暗号化
    • ロールベースのアクセス制御に基づいた鍵アクセスの制限

主な特長

  • 暗号化トラフィックを可視化
  • マルウェア検出、侵入検出、データ損失防止、ネットワーク フォレンジックに対応
  • アプリケーション パフォーマンス管理、ネットワーク パフォーマンス監視および顧客エクスペリエンス管理ツールに対して復号化トラフィックを送信
  • SSL検査機能を多階層セキュリティソリューションに統合
    • 未検査のSSLセッションに隠れたマルウェアの侵入を防止
    • 既知のフローと一致しないトラフィックをGigaSMARTに転送し復号化を実行
    • クラウドやリモート サイトのトラフィックを復号化
  • ツール パフォーマンスの向上
    • SSL 復号化をVisibility Fabricに一任し、ツールのリソースをパケット分析処理に集中
    • 個々のツールで復号化を行うのではなく、一度にまとめる形で実施
  • 複数のGigaSMARTアプリケーションのチェーン化
    • GigaVUE-VM、リモートサイトまたは ERSPAN から送信されたトンネルを終了(ターミネート)
    • フローマッピングおよびSSL復号化を適用
    • L7 ベースのパケット転送でアダプティブ パケット フィルタリングを使用
    • パケット スライシングまたはマスキングによって個人データを保護


多くのアプリケーションが、不可欠なインターネット テクノロジーであるSSLへの依存度を高めています。しかし、SSLによって、パフォーマンスおよびセキュリティ監視の可視化性能は大幅に制限されることになります。SSLセッションの未検査によって生じるセキュリティ上の脅威の拡大により、SSL トラフィックを検査する必要性が高まっています。Gigamonでは、SSLトラフィックを復号化してアウトオブバンドのトラフィック監視することで、従来では不可能だった可視化を実現します。SSLトラフィックを無視することなく、Flow MappingとGigaSMARTのトラフィック インテリジェンスをフルに活用することができます

SSL復号化は、監視ツールの処理に大きな負荷を与えます。これによって、ツールのパフォーマンスが大幅に制約され、監視コストも増加します。Gigamonでは、正確な復号化トラフィックを複数のツールに送信することで、設備投資やライセンス料金、さらに管理コストを低減してROIを向上するなど、直ぐに大きな効果を発揮することができます。

リソース

Application Note

アプリケーションノート: SSL復号化

White Paper

ホワイトペーパー: 多階層セキュリティにおける SSLトラフィックをアクティブに可視化する

White Paper

SSL復号化: インフラストラクチャにおける新たな死角の検出

Video

ビデオ: SSL復号化による新たな脅威の可視化