Was ist SSL-Offloading?

Die Kosten der Verschlüsselung

Die Verschlüsselung in Form von Secure Sockets Layer (SSL) und seinem Nachfolger, Transport Layer Security (TLS), ist der Schlüssel zur Gewährleistung der Sicherheit und Integrität der Internetkommunikation. Das Problem bei der Verschlüsselung besteht darin, dass die Ver- und Entschlüsselung von Daten bei jeder Verbindung eine beträchtliche Investition an Prozessorzyklen erfordert.

Eine weitere Folge der Verschlüsselung ist, dass es aufgrund der Privatheit der verschlüsselten Kommunikation nicht möglich ist, Nutzdaten wie Malware und unerwünschte Inhalte "im Flug" zu erkennen. Wenn jedoch jeder Server jede empfangene Anfrage entschlüsseln und prüfen und dann seine Antworten verschlüsseln muss, bedeutet dies einen erheblichen Verarbeitungs- und Verwaltungsaufwand.

Der Vorteil des SSL-Offloading

Die Antwort auf diese Probleme ist SSL-Offloading: der Einsatz einer Lösung, die als Gateway fungiert und spezielle Hardware zur Beschleunigung der SSL-Verschlüsselung und -Entschlüsselung nutzen kann. Das Gateway-System, das in der Regel als Application Delivery Controller (ADC) bezeichnet wird und in der Regel auch für den Lastausgleich sorgt, wird zum Front-End für einen Server oder Server-Cluster.

Wenn beispielsweise ein Client einen verschlüsselten Datenaustausch initiiert, verwaltet der ADC den Aufbau der SSL-Sitzung und entschlüsselt die eingehenden Client-Kommunikationen und verschlüsselt die ausgehenden Antworten, wenn der Server antwortet. Da Application Delivery Controller so optimiert sind, dass sie die Ver- und Entschlüsselung so schnell wie möglich abwickeln und die Verarbeitungslast des Servers reduzieren, verringert sich auch die Latenzzeit im Netzwerk.

Der Einsatz von Application Delivery Controllern zur Auslagerung der SSL-Verarbeitung von den Servern ist das primäre Ziel, aber sie können auch die Kommunikation auf Sicherheitsbedrohungen wie Malware und Phishing untersuchen und die Übertragung sensibler Daten wie Kreditkarten- oder Sozialversicherungsnummern verhindern.

Arten von SSL-Offloading

Zwei der gängigsten Arten des SSL-Offloading sind:

• Beim SSL-Bridging oder Proxying übernimmt der Application Delivery Controller die Einleitung der SSL-Sitzung, entschlüsselt die Client-Anfragen und verschlüsselt sie erneut, bevor er sie an die Server weiterleitet, und umgekehrt, wenn der Server dem Client antwortet. Der ADC verwendet diesen Modus im Allgemeinen, um die Überprüfung des Datenverkehrs durch Sicherheitsgeräte zu ermöglichen und Funktionen wie das Einfügen von Headern usw. durchzuführen.
• Bei der SSL-Terminierung übernimmt die ADC wie beim Bridging die Initiierung der SSL-Sitzung und entschlüsselt die Client-Anfragen, leitet sie dann aber ohne zusätzliche SSL-Verschlüsselung an den Server weiter. Wenn der Server antwortet, verschlüsselt die ADC die Antwort, bevor sie sie an den Client weiterleitet. In diesem Modus werden die Vorgänge der Ver- und Entschlüsselung vollständig ausgelagert, so dass die Server mit maximaler Leistung arbeiten können.

In beiden Fällen kann der Application Delivery Controller die Kommunikation überprüfen und filtern. Der Wert der SSL-Überbrückung besteht darin, dass sie die Kommunikation in nicht vertrauenswürdigen internen Netzwerken ermöglicht und den Ver-/Entschlüsselungs-Overhead auf den Servern zwar nicht verringert, aber den Überprüfungs- und Filterungs-Overhead beseitigt.

Wie die SSL-Offloading-Lösungen von A10 helfen können

A10 NetworksThunder® Application Delivery Controller (ADC) ist sowohl in Hardware- als auch in Software-Formfaktoren erhältlich; ausgewählte Hardware-Plattformen bieten auch erweiterte Sicherheitsprozessoren für dedizierte SSL-Offload-Funktionen. Neben SSL-Offloading bieten unsere kostengünstigen und branchenführenden Produkte auch Deep Packet Inspection, Filterung, Lastausgleich und Traffic Shaping.