Apakah Penyahsulitan SSL/TLS?
Penyahsulitan SSL, juga dikenali sebagai penyahsulitan SSL/TLS, merujuk kepada proses memintas dan menyahsulit trafik rangkaian yang disulitkan oleh Secure Sockets Layer (SSL) atau Transport Layer Security (TLS). SSL/TLS ialah protokol penyulitan yang digunakan secara meluas yang menjamin keselamatan penghantaran data melalui rangkaian komputer, seperti internet.
Penyahsulitan SSL biasanya dilakukan oleh peranti keselamatan, seperti tembok api, sistem pencegahan pencerobohan (IPS) atau peralatan penyahsulitan SSL khusus. Peranti ini diletakkan secara strategik dalam rangkaian untuk memeriksa trafik yang disulitkan untuk tujuan keselamatan. Objektif utamanya adalah untuk menganalisis data yang disulitkan untuk potensi ancaman, perisian hasad atau aktiviti yang tidak dibenarkan.
Untuk melakukan penyahsulitan SSL, peranti keselamatan bertindak sebagai orang tengah antara klien (contohnya, pelayar web) dan pelayan. Apabila klien memulakan sambungan SSL/TLS dengan pelayan, peranti keselamatan memintas trafik yang disulitkan dan mewujudkan dua sambungan SSL/TLS berasingan—satu dengan klien dan satu lagi dengan pelayan.
Peranti keselamatan kemudiannya menyahsulit trafik daripada klien, memeriksa kandungan yang dinyahsulit dan menggunakan dasar keselamatan untuk mengenal pasti sebarang aktiviti berniat jahat atau mencurigakan. Ia juga boleh melaksanakan tugas seperti pencegahan kehilangan data, penapisan kandungan atau pengesanan perisian hasad pada data yang dinyahsulit. Setelah trafik dianalisis, peranti keselamatan menyulitkannya semula menggunakan sijil SSL/TLS baharu dan menghantarnya ke pelayan.
Penting untuk diperhatikan bahawa penyahsulitan SSL menimbulkan kebimbangan privasi dan keselamatan. Memandangkan peranti keselamatan mempunyai akses kepada data yang dinyahsulit, ia berpotensi melihat maklumat sensitif seperti nama pengguna, kata laluan, butiran kad kredit atau data sulit lain yang dihantar melalui rangkaian. Oleh itu, penyahsulitan SSL biasanya dilaksanakan dalam persekitaran terkawal dan selamat untuk memastikan privasi dan integriti data yang dipintas.
Penyahsulitan SSL mempunyai tiga mod biasa, iaitu:
- Mod Pasif
- Mod Masuk
- Mod Keluar
Tetapi, apakah perbezaan antara tiga mod Penyahsulitan SSL?
| Mod | Mod Pasif | Mod Masuk | Mod Keluar |
| Penerangan | Hanya meneruskan trafik SSL/TLS tanpa penyahsulitan atau pengubahsuaian. | Menyahsulit permintaan klien, menganalisis dan menggunakan dasar keselamatan, kemudian memajukan permintaan tersebut ke pelayan. | Menyahsulit respons pelayan, menganalisis dan menggunakan dasar keselamatan, kemudian menghantar respons tersebut kepada klien. |
| Aliran Trafik | Dwiarah | Klien ke Pelayan | Pelayan kepada Pelanggan |
| Peranan Peranti | Pemerhati | Lelaki di Tengah | Lelaki di Tengah |
| Lokasi Penyahsulitan | Tiada penyahsulitan | Menyahsulit di perimeter rangkaian (biasanya di hadapan pelayan). | Menyahsulit pada perimeter rangkaian (biasanya di hadapan klien). |
| Keterlihatan Trafik | Trafik yang disulitkan sahaja | Permintaan klien yang dinyahsulit | Respons pelayan yang dinyahsulit |
| Pengubahsuaian Trafik | Tiada pengubahsuaian | Boleh mengubah suai trafik untuk tujuan analisis atau keselamatan. | Boleh mengubah suai trafik untuk tujuan analisis atau keselamatan. |
| Sijil SSL | Tidak memerlukan kunci peribadi atau sijil | Memerlukan kunci peribadi dan sijil untuk pelayan yang dipintas | Memerlukan kunci peribadi dan sijil untuk klien yang dipintas |
| Kawalan Keselamatan | Kawalan terhad kerana ia tidak dapat memeriksa atau mengubah suai trafik yang disulitkan | Boleh memeriksa dan menggunakan dasar keselamatan pada permintaan klien sebelum sampai ke pelayan | Boleh memeriksa dan menggunakan dasar keselamatan pada respons pelayan sebelum sampai ke klien |
| Kebimbangan Privasi | Tidak mengakses atau menganalisis data yang disulitkan | Mempunyai akses kepada permintaan klien yang dinyahsulit, menimbulkan kebimbangan privasi | Mempunyai akses kepada respons pelayan yang dinyahsulit, menimbulkan kebimbangan privasi |
| Pertimbangan Pematuhan | Impak minimum terhadap privasi dan pematuhan | Mungkin memerlukan pematuhan terhadap peraturan privasi data | Mungkin memerlukan pematuhan terhadap peraturan privasi data |
Berbanding dengan penyahsulitan bersiri platform penghantaran selamat, teknologi penyahsulitan bersiri tradisional mempunyai batasan.
Firewall dan gerbang keselamatan rangkaian yang menyahsulit trafik SSL/TLS selalunya gagal menghantar trafik yang didekripsi ke alat pemantauan dan keselamatan lain. Begitu juga, pengimbangan beban menghapuskan trafik SSL/TLS dan mengagihkan beban dengan sempurna antara pelayan, tetapi ia gagal mengagihkan trafik ke berbilang alat keselamatan rantaian sebelum menyulitkannya semula. Akhir sekali, penyelesaian ini kekurangan kawalan ke atas pemilihan trafik dan akan mengagihkan trafik yang tidak disulitkan pada kelajuan wayar, biasanya menghantar keseluruhan trafik ke enjin penyahsulitan, sekali gus mewujudkan cabaran prestasi.
Dengan penyahsulitan Mylinking™ SSL, anda boleh menyelesaikan masalah ini:
1- Meningkatkan alat keselamatan sedia ada dengan memusatkan dan mengurangkan penyahsulitan dan penyulitan semula SSL;
2- Dedahkan ancaman tersembunyi, pelanggaran data dan perisian hasad;
3- Hormati pematuhan privasi data dengan kaedah penyahsulitan terpilih berasaskan dasar;
4 - Aplikasi perisikan trafik berbilang rantaian perkhidmatan seperti penghirisan paket, penyamaran, penyahduplikasian dan penapisan sesi adaptif, dsb.
5- Mempengaruhi prestasi rangkaian anda, dan buat pelarasan yang sewajarnya untuk memastikan keseimbangan antara keselamatan dan prestasi.
Ini adalah beberapa aplikasi utama penyahsulitan SSL dalam broker paket rangkaian. Dengan menyahsulit trafik SSL/TLS, NPB meningkatkan keterlihatan dan keberkesanan alat keselamatan dan pemantauan, memastikan perlindungan rangkaian yang komprehensif dan keupayaan pemantauan prestasi. Penyahsulitan SSL dalam broker paket rangkaian (NPB) melibatkan akses dan penyahsulitan trafik yang disulitkan untuk pemeriksaan dan analisis. Memastikan privasi dan keselamatan trafik yang didekripsi adalah sangat penting. Adalah penting untuk ambil perhatian bahawa organisasi yang menggunakan penyahsulitan SSL dalam NPB harus mempunyai dasar dan prosedur yang jelas untuk mengawal penggunaan trafik yang didekripsi, termasuk kawalan akses, pengendalian data dan dasar pengekalan. Pematuhan dengan keperluan undang-undang dan peraturan yang berkenaan adalah penting untuk memastikan privasi dan keselamatan trafik yang didekripsi.
Masa siaran: 04-Sep-2023
