インフラエンジニア勉強雑記

インフラ技術に関して勉強したメモを残したものです。誤っている内容があればコメントもしくはメッセージでお知らせいただけると助かります。

SSL/TLSについて⑤ SSLの終端機器

 1.SSL/TLSの負荷に関して

SSLをサーバ側で有効化すると、負荷が増大します。CPUの処理能力が下がってしまって、当初の想定よりもスループットが出ない可能性が出てきます。

今後実測で行う機会があればSSLを有効化しなかった場合、有効化した場合(鍵長の差異など)も比較できればと思っております。

2.サーバの処理増加対策

サーバ側でSSLの処理を行う場合、クライアントとサーバ間でSSLを終端しています。

別の手法としてサーバの手前で別機器によってSSLを復号化し、サーバの負荷を下げることが多くの企業によって行われております。

f:id:light-spoqz:20190207224303j:plain

SSL復号化機器にサーバ証明書秘密鍵をもたせておき、クライアントとSSL復号化機器間はHTTPS通信を行います。SSL復号化機器とWebサーバ間ではHTTP通信を行います。

世の中にはSSL復号化に特価した製品や適した製品が多くあります。

  • F5社 BIG-IP
  • A10社 Thunder
  • Citrix社 NetScaler

上記に記載した機器は公開サーバ向け製品です。インターネットから特定のサーバに対してSSL通信を行う場合に使用されます。

また、上記機器は負荷分散装置としてWebサーバの手前に設置されることが多く、SSLの復号化と負荷分散を1台で行えるため、使用されることが多いです。

3.クライアントの通信可視化

企業の対策は外部からのアクセスのみではありません。クライアント端末がインターネット上の不正なサーバにアクセスしていたことが判明したとき、企業はその原因を究明する必要があります。仮にフォレンジック装置などを導入していても、HTTPS通信が行われていた場合、企業としては通信内容を確認することができません。

そのためにSSL復号化機器を導入します。BIG-IPやA10と異なる点はSSL復号化機器にもたせるものは秘密鍵のみという点です。BIG-IPやA10の方式で本内容を行おうとすると、インターネット上のサーバ証明書を作成し、BIG-IPに持たせなければなりません。それを防ぐために秘密鍵でWebサーバから取得したサーバ証明書の中身を盗み見て、自身の秘密鍵で署名のみ行います。クライアントに秘密鍵に対応したルート証明書をインポートする必要があります。

クライアントからみたサーバ証明書はすべて同じルート認証局で署名されているはずです。復号化したパケットはUTMやフォレンジックに流れることで、セキュリティの監査やパケットの保存が行なえます。

f:id:light-spoqz:20190207225101j:plain

以下のような製品があります。

  • Symantec社 BlueCoat(2016年にBlue Coat社がSymantec社に買収されました)
  • アルチザ社 AISVA(調べたら出てきました、、、多分上記のようなことができるはず)

特にBlueCoatは昔からSSL復号化に特価した製品があることで定評があります。

以下の用途で製品は分かれています。

  • SSL VA(インラインで復号化する機器、UTMなどを復号化区間に挟み込んで使用します。)
  • Proxy SG(プロキシサーバで、HTTPS通信は復号化して対象機器に投げる)

 

4.まとめ

  • SSLを使用するとサーバが重くなるので設計には気をつける。
  • 設計で考慮したくないのであればSSL復号化装置を導入するのも良い。
  • クライアントからWebに対する通信を復号化すればセキュリティインシデント発生時に原因分析が楽になるが、専用の装置が必要。

 

SSL/TLSについて① SSL/TLS通信の概要 - インフラエンジニア勉強雑記

SSL/TLSについて② SSLの通信フロー - インフラエンジニア勉強雑記

SSL/TLSについて③ 証明書とは - インフラエンジニア勉強雑記

SSL/TLSについて④ 証明書の発行方法、ルート証明書のインポート方法 - インフラエンジニア勉強雑記

SSL/TLSについて⑤ SSLの終端機器 - インフラエンジニア勉強雑記

SSL/TLSについて⑥ SSLハンドシェイク - インフラエンジニア勉強雑記