Die 6 wichtigsten Fragen bei der Auswahl von SSL-Schutzlösungen


This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch Russisch

99 % des Datenverkehrs im Internet ist heutzutage verschlüsselt. Aufgrund der neuen DSGVO-Richtlinien sind Unternehmen zur Nutzung von HTTPS gezwungen. Damit wird verschlüsselte Kommunikation zur Standardmethode. Die Verschlüsselung des Datenverkehrs spielt für Sicherheit und Datenschutz eine wesentliche Rolle, öffnet aber auch Tür und Tor für eine neue Generation aggressiver DDoS-Angriffe, die bis zu 15-mal mehr Ressourcen vom Zielserver als vom anfragenden Host erfordern können.

Die Kunst besteht darin, den bösartigen Datenverkehr innerhalb des verschlüsselten Datenverkehrs zu erkennen – die berühmte Suche nach der Nadel im Heuhaufen. Deshalb eignet sich die Methode für Hacker hervorragend. Außerdem werden die Rechenressourcen der angegriffenen Netzwerk- und Applikationsinfrastrukturen einer hohen Last ausgesetzt.

Prinzipiell gibt es keinen universell wirksamen SSL-Schutz. Jedes Unternehmen hat seine eigenen Prioritäten, Geschäftsanforderungen, Schwachstellen und Datenschutzbedürfnisse. Trotzdem sollten Sie sich bei der Auswahl einer SSL-Schutzlösung an bestimmten Fragen orientieren, um die optimale Lösung für Ihr Unternehmen zu finden.

Une image contenant texte, rideau, corbeille

Description générée automatiquement

1. Haben Sie Zugriff auf das SSL-Zertifikat?

Manche Unternehmen haben keinen Zugriff auf das Zertifikat. Mögliche Gründe dafür sind gesetzliche oder datenschutzbezogene Einschränkungen, die Merkmale der Netzwerk- und Sicherheitsarchitektur oder SaaS-Modelle (Security-as-a-Service). Im Rahmen von MSSP- (Managed Security Service Provider) oder Scrubbing-Services ist das Endkundenzertifikat nicht immer verfügbar.

Andere Unternehmen, die Zugriff auf das SSL-Zertifikat haben, können SSL-Datenverkehr entschlüsseln und Einblick in den Datenverkehr erlangen.

2. Wenn Zugriff auf das Zertifikat besteht, wo sollte der Datenverkehr entschlüsselt werden?

Der Zugriff auf das Zertifikat ist nur der Anfang. Im nächsten Schritt müssen die Netzwerktopologie und die gewünschte Sicherheit betrachtet werden.

In manchen Netzwerktopologien erfolgt die Entschlüsselung des SSL-Datenverkehrs näher an den Servern, während es sich bei anderen Implementierungen empfiehlt, den Datenverkehr früher zu entschlüsseln und Bedrohungen im Keim zu ersticken. Bei einer Entschlüsselung in Servernähe kommen häufig Applikationsschutzlösungen zum Einsatz. In diesem Fall müssen zusätzliche Risiken wie DDoS-Angriffe beachtet werden, die es zu einem früheren Zeitpunkt im Netzwerk abzufangen gilt.

3. Wenn Zugriff auf das Zertifikat besteht, wann sollte der Datenverkehr entschlüsselt werden?

Die kontinuierliche Entschlüsselung des gesamten SSL-Datenverkehrs erlaubt umfassende Transparenz, geht aber zu Lasten der Rechenressourcen und Latenz. Manche Unternehmen können sich keine weitere Latenz leisten, sodass die ständige Entschlüsselung aller Sitzungen für sie nicht infrage kommt. Unternehmen würden eine Sicherheitslösung bevorzugen, die nur unter bestimmten Bedingungen entschlüsselt, nur einen Teil der Sitzungen entschlüsselt oder in manchen Szenarien gar nichts entschlüsselt. Wenn weniger SSL-Datenverkehr entschlüsselt wird, entsteht ein Gleichgewicht zwischen SSL-Sicherheit einerseits und Latenz bzw. guter Benutzererfahrung andererseits.

[Das könnte Sie auch interessieren: Detecting and Mitigating HTTPS Floods…Without Decryption Keys]

4. Wenn Zugriff auf das Zertifikat besteht, welcher Teil der Sitzung sollte entschlüsselt werden?

Bei der Entscheidung, wann entschlüsselt wird, sollte auch der Umfang der Entschlüsselung gewählt werden. Wird nur ein Teil der SSL-Sitzung anstatt der gesamten Sitzung entschlüsselt, entsteht bereits ein hoher Schutz vor bestimmten Angriffen. Nachdem Unternehmen festgelegt haben, wann sie SSL-Sitzungen entschlüsseln, können sie genauso flexibel den Umfang der Verschlüsselung bestimmen, um ein noch besseres Gleichgewicht zwischen dem gewünschten Sicherheitsniveau und einer optimalen Benutzererfahrung zu erzielen.

5. Sind Ihre Services sehr sensibel für Latenz?

Durch die Entschlüsselung des gesamten SSL-Datenverkehrs entsteht umfassende Transparenz, aber auch ein enormer Rechenaufwand, der die Latenz des Services beeinträchtigt. Manche Unternehmen und Services können sich zusätzliche Latenz aufgrund von SSL-Entschlüsselung nicht leisten. Diese Unternehmen benötigen eine SSL-Lösung, die keine Entschlüsselung oder nur minimale Entschlüsselung erfordert, und das auch nur unter bestimmten Bedingungen und nur für einen Teil der Sitzungen.

6. Verwenden Sie Content Delivery Networks (CDNs) für Ihre Services?

Mit einem CDN wird Datenverkehr im Auftrag des Unternehmens generiert. In diesem Fall lässt sich die tatsächliche IP-Adresse nur in den verschlüsselten HTTP-Headern finden. Oder anders gesagt muss der gesamte SSL-Datenverkehr entschlüsselt werden, um den tatsächlichen Client zu erkennen. Bei CDNs muss die Sicherheitslösung alle SSL-Sitzungen vollständig entschlüsseln, um den tatsächlichen Client im HTTP-Header zu bestimmen und gezielte Schutzmaßnahmen zu ergreifen.

Wichtige Überlegungen

Wie aus dem Q2 2021 Quarterly DDoS Report von Radware hervorgeht, entfallen 20 % des Gesamtvolumens aller gemeldeten schädlichen Ereignisse in diesem Quartal auf verschlüsselte Webangriffe. Damit steht fest: Herkömmliche Lösungen bieten keinen ausreichenden Schutz.  Netzwerk-basierte Lösungen wie Netflow Detectors sind für SSL-Datenverkehr nicht geeignet, sodass die Netzwerke, in denen sie eingesetzt werden, durch verschlüsselte Angriffe gefährdet sind.

Wenn Sie ein Content Delivery Network (CDN) nutzen, wird Datenverkehr im Auftrag des Unternehmens generiert. Die tatsächliche IP-Adresse lässt sich nur in den verschlüsselten HTTP-Headern finden. Oder anders gesagt muss der gesamte SSL-Datenverkehr entschlüsselt werden, um den tatsächlichen Client zu erkennen.

Andere Lösungen erfordern eine vollständige Entschlüsselung von HTTPS-Paketen, was zu Lasten des Datenschutzes und der Latenz geht und mit einer aufwendigen Schlüsselverwaltung verbunden ist.

[Gefällt Ihnen dieser Artikel? Melden Sie sich jetzt an, um wöchentlich die neuesten Radware-Meldungen per E-Mail zu erhalten. Außerdem bekommen Sie Zugriff auf Radwares Premium-Inhalte.]

Radware

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center