Imperva WAF實現SSL Labs A+級安全防護
通過web伺服器與客戶端之間的相互認證並加密信息交互,是網路安全保護的一項基本功能。據最新數據顯示,截止2017年上半年,已有超過一多半的網路流量獲得了加密保護。
儘管如此,HTTPS安全性的等級仍參差不齊。流量加密強度是否足夠?企業的HTTPS配置是否足夠縝密?單憑SSL部署能夠確保數據安全?種種有待解決的問題催生出大量網路安全診斷工具,對網路安全性進行評估定級與配置建議。部分工具可以提供基礎信息並對增強HTTPS配置提供建議。另外一些則具有幕後優化功能,為企業的HTTPS配置提供更為深入的分析,包括SSL漏洞狀態報告等。其中,SSL Labs by Qalys以其綜合性和深入性脫穎而出,成為SSL部署行業標準的工具。
SSL Labs如何為web伺服器進行安全性測試和評級?
SSL Labs根據其SSL伺服器評級準則對企業用戶的網站進行評級,從最高級A到最低級F,安全性依次降低。SSL Labs評級主要關注證書和配置兩方面,在驗證其有效性與受信性的同時,檢查伺服器配置,並將其分為三類:協議支持、密鑰交換支持和加密演算法支持。
協議支持:檢查可用的SSL協議版本,即:下列五個版本中都支持哪些:SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1以及TLS 1.2;
密鑰交換支持:檢查密鑰交換參數優勢 ;
加密演算法支持:檢查所支持的加密演算法套組,同時按優先伺服器順序從強到弱地列出加密演算法。
SSL Labs將以上各分類進行評分,綜合得出總分,並將其轉換為對應的等級,最後檢查無法通過數值評估來表現的其它伺服器配置項,確定其是否有其它特徵,如是否支持TLS_FALLBACK_SCSV、OCSP stapling或HSTS。根據補充檢查調整確定最終評分等級。在最後的調整過程中,即使評分不降,也不可能拿到A+的分數。分數與等級的對應關係如下所示:
SSL Labs評分與等級轉換表
SSL Labs何以成為網路安全性的權威評級標準?
SSL Labs誕生之初,包括Imperva安全研究院及其很多用戶在內的安全研究機構都曾置疑SSL Labs的測試方法與有效性,但時至今日,SSL Labs已成為一種標配方案。這種形勢上的轉變,根本原因在於SSL Labs不僅提供SSL/TLS部署的安全性評分,而且包括了針對安全違規功能的檢查。企業用戶逐漸意識到,其網站等級以及SSL/TLS部署已為眾人皆知。同時,越來越多的用戶開始使用SSL Labs作為了解各自網站安全性的指導工具。如果評級差,則可能對網站信譽造成負面影響,如被潛在用戶認為網站不安全,從而帶來間接的財務損失。
例如,如果顧客在某電商網站購物,發現該網站的網站安全評級被SSL Labs評為F級,那麼顧客對於在此網站上的購物安全就難以放心,可能斟酌再三而影響下單決策。簡言之,在SSL Labs評價系統中拿到高分,不僅代表了網站安全性有了最強的保障,而且能夠帶來更高的客戶信任度和更大的潛在收益。Imperva SecureSphere Web Application Firewall(WAF)正是可以通過簡單而行之有效的部署方式,幫助企業獲得SSL Labs評分A+,同時超越SSL部署的局限,在更高的程度上保障網路安全。
企業用戶害怕拿到SSL Labs F評級
如何通過部署WAF獲得SSL Labs A+評級?
只有部署WAF,才能幫助企業儘快實現SSL Labs A+評級。而部署WAF的步驟非常簡單,不需要更改後台伺服器,同時藉助SSL配置管理工具,使SSL配置也得到了極大的簡化。
以SecureSphere WAF新發布的13.0版產品為例。該產品配有默認配置模板,方便用戶輕鬆配置,可直接幫助用戶取得完美的SSL Labs A+評級。用戶只需要部署反向代理模式即可,按照下面兩個簡單的步驟即可完成:
1) 查看預設SSL設置
在「Main」工作頁面下,選擇Setup > Global Object。然後在Scope Selection條下,選擇SSL Settings並選擇「SSL Labs A+ RP Server Side SSL Settings」模板,然後查看配置,並確保可接受此類設置。
在Imperva SecureSphere WAF中,設置自定義SSL設置或使用預設設置,實現SSL Labs A+評級。
2) 將設置應用到企業的各應用中
在Main工作頁面下,選擇Setup > Sites。在Sites Tree欄中,選擇需要保護的各項服務。在Reverse Proxy標籤下,選擇反向代理規則(KRP 或 TRP)下的「SSL Labs A+ RP Server Side SSL Settings」,然後點擊Save按鈕。
默認實現A+級安全部署的前提,是需要安裝有效的SSL證書及所有中級CA證書,並在Web伺服器或SecureSphere上啟用HSTS。
SecureSphere WAF 環境下的SSL Labs A+級部署
只要做到以上步驟,企業即可在Imperva的幫助下獲得A+安全評級。
另外,SSL Labs根據技術發展趨勢定期調整其評級標準與方法,而SecureSphere WAF也會持續監控與追蹤SSL Labs的各類變化,隨時調整與更新Imperva的產品目標,保證A+安全評級。
不止於A+級的安全保障
所有的安全專家都承認,僅僅依賴作為網路安全保護一個方面SSL部署是遠遠不夠的。SSL/TLS僅用於確保安全連接,並不能保護應用免受任何類型的攻擊。現在的攻擊多種多樣,如SQL injections和cross-site scripting等技術攻擊或site scraping和account takeover等商業邏輯攻擊。面對攻擊方式的多樣性,部署SSL之外,還需要更靈活、更有層次的保障。
部署Imperva SecureSphere Web Application Firewall在達成SSL Labs A+級防護的同時,還能解決多樣化攻擊的問題,能夠保護企業用戶部署在雲或預置方案中Web應用的安全,同時還幫助防止因企業用戶違規而造成的連帶損失、成本或品牌損害,為企業提供不止於A+級的網路安全保護。
※NASA 3D列印醫療工具以改善宇航員的健康狀況
※《CS:GO》女性精英玩家組義警團 打擊遊戲霸凌
TAG:太平洋電腦網 |