/ O que é a inspeção de SSL?
O que é a inspeção de SSL?
Por que a inspeção de SSL é importante?
A atual popularidade dos aplicativos SaaS e da nuvem implica em mais dados trafegando na internet com mais frequência, expondo-os a riscos maiores. Portanto, a criptografia é uma etapa essencial para manter a segurança de dados confidenciais e sigilosos. É por isso que a maioria dos navegadores, servidores web e aplicativos na nuvem atuais criptografam os dados de saída e transmitem esses dados por conexões HTTPS.
Infelizmente, isso funciona nos dois sentidos. Se os dados sigilosos podem ser ocultos no tráfego HTTPS, as ameaças também podem. Isso torna o processo de inspeção de SSL igualmente essencial, pois permite que uma empresa inspecione totalmente o conteúdo do tráfego descriptografado antes de bloqueá-lo ou criptografá-lo novamente para que possa continuar seu caminho.
SSL vs. TLS
Hora de um esclarecimento. Secure Sockets Layer (SSL) e Transport Layer Security (TLS) são protocolos criptográficos que regem a criptografia e a transmissão de dados entre dois pontos. Então, qual é a diferença?
O já extinto Netscape desenvolveu o SSL em meados dos anos 90, lançando o SSL 3.0 no final de 1996. O TLS 1.0, baseado em uma versão melhorada do SSL 3.0, surgiu em 1999. O TLS 1.3, lançado pela Internet Engineering Task Force (IETF) em 2018, era a versão mais recente e segura no momento desta redação. Atualmente, o SSL não é mais desenvolvido ou suportado — em 2015, a IETF declarou todas as versões do SSL obsoletas devido a vulnerabilidades (por exemplo, para ataques indiretos, tipo 'man in the middle') e falta de recursos críticos de segurança.
Apesar disso e de décadas de mudanças, fora de um sentido estritamente técnico, a maioria das pessoas ainda usa "SSL" como um termo genérico para protocolos criptográficos. Em outras palavras, quando se vê as siglas SSL, TLS, SSL/TLS, HTTPS e similares, quase sempre todas significam a mesma coisa. Para os fins deste artigo, esclareceremos conforme necessário.
Como a inspeção de SSL funciona
Existem algumas abordagens diferentes para a descriptografia e inspeção SSL. Vamos analisar as mais comuns e as principais considerações para cada uma delas.
Para uma explicação mais específica, podemos detalhar como ela funciona na plataforma da Zscaler. Quando você ativa a inspeção de SSL com a Zscaler, o processo é o seguinte:
- Um usuário abre um navegador e envia uma solicitação HTTPS.
- O serviço da Zscaler intercepta a solicitação HTTPS. Através de um túnel SSL separado, o serviço envia sua própria solicitação HTTPS ao servidor de destino e conduz as negociações SSL.
- O servidor de destino envia ao serviço da Zscaler o certificado com sua chave pública.
- O serviço da Zscaler e o servidor de destino concluem o handshake SSL. Os dados do aplicativo e as mensagens subsequentes são enviadas através do túnel SSL.
- O serviço da Zscaler conduz negociações SSL com o navegador do usuário. Ele envia ao navegador o certificado intermediário da Zscaler ou a raiz intermediária personalizada da sua organização, bem como um certificado do servidor assinado pela CA intermediária da Zscaler. O navegador valida a cadeia de certificados em seu armazenamento de certificados.
- O serviço da Zscaler e o navegador concluem o handshake SSL. Os dados do aplicativo e as mensagens subsequentes são enviadas através do túnel SSL.
Benefícios da inspeção de SSL
Implementar a inspeção de SSL ajuda as empresas a manter seus usuários finais, clientes e dados seguros, com a capacidade de:
- Evitar violações de dados, encontrando malware oculto e impedindo que hackers burlem as defesas
- Ver e entender o que os funcionários estão enviando para fora da empresa, de forma intencional ou acidental
- Atender aos requisitos de conformidade regulamentar, garantindo que os funcionários não estejam colocando dados confidenciais em risco
- Apoiar uma estratégia de defesa de várias camadas que preserve a segurança de toda a empresa
A necessidade da inspeção de SSL
A inspeção de SSL é um recurso vital de segurança para redes de empresas modernas, já que a maior parte do tráfego na web agora é criptografada, e alguns analistas de segurança cibernética estimam que, atualmente, mais de 90% dos malwares podem se esconder em canais criptografados.
Apesar desse aumento no uso da criptografia, muitas organizações continuam realizando a inspeção de SSL/TLS em apenas parte do seu tráfego, permitindo que o tráfego de certas fontes “confiáveis” não seja inspecionado. Como a internet é altamente dinâmica, esse comportamento pode apresentar riscos. Os sites, por exemplo, são servidos dinamicamente e podem extrair conteúdo de diversas fontes para exibir centenas de objetos, e cada um deles pode representar uma ameaça.
Enquanto isso, autores de malware estão usando a criptografia cada vez mais para ocultar seus ataques. Com mais de 100 autoridades certificadoras de SSL em todo o mundo atualmente, é fácil e barato obter um certificado SSL válido. A qualquer momento, cerca de 70% do tráfego que a Zscaler Cloud processa é criptografado, o que mostra a importância de poder descriptografar o tráfego SSL.
Então, por que isso não é feito por todo mundo? Basicamente, a descriptografia, inspeção e recriptografia do tráfego SSL são tarefas de alto custo computacional e, sem a tecnologia correta, esse processo pode ter um impacto devastador no desempenho da rede. A maioria das empresas não pode se dar ao luxo de interromper os negócios e os fluxos de trabalho, portanto, a única escolha é ignorar a inspeção de HTTPS feita por dispositivos que não conseguem acompanhar as demandas de processamento.
Criptografia e o cenário de ameaças moderno
Com o aumento da preocupação sobre privacidade de dados nos últimos anos, a tendência tem sido usar a criptografia por padrão. Isso é ótimo para a privacidade, mas os requisitos técnicos e, em muitos casos, os custos do hardware necessário são excessivos para muitas organizações. Como resultado, essas organizações não estão equipadas para inspecionar tráfego criptografado em larga escala.
Os criminosos sabem disso, então as ameaças baseadas em SSL estão aumentando. Embora os hackers tenham encontrado diversas maneiras de se infiltrar nos sistemas e roubar dados, quebrar a criptografia continua sendo algo difícil e demorado e é, portanto, uma abordagem ineficiente. Em vez disso, eles próprios começaram a usar a criptografia para distribuir conteúdo malicioso, ocultar malware e realizar ataques sem serem detectados.
Durante anos, o símbolo de um cadeado ao lado do endereço URL de um site significava que ele era seguro, mas isso não é mais uma garantia de segurança. O tráfego que passa por canais criptografados não deve ser considerado confiável apenas por virtude de um certificado digital. Antes visto como a proteção máxima para dados transmitidos pela internet, o SSL se tornou o principal meio para os criminosos cibernéticos realizarem ações nefastas.
Zscaler e inspeção de SSL
A plataforma Zscaler Zero Trust Exchange™ permite uma inspeção SSL completa em larga escala, sem latência ou limitações de capacidade. Ao combinar a inspeção SSL com nossa pilha de segurança completa como um serviço na nuvem, você obtém proteção superior sem as restrições dos aparelhos.
Capacidade ilimitada
Inspecione todo o tráfego SSL de seus usuários, dentro ou fora da rede, com um serviço dimensionado de forma elástica para atender às suas demandas de tráfego.
Administração mais enxuta
Pare de administrar certificados individualmente em todos os gateways. Os certificados carregados na Zscaler Cloud são imediatamente disponibilizados nos mais de 150 data centers da Zscaler em todo o mundo.
Controle granular de políticas
Garanta a conformidade com flexibilidade para excluir tráfego criptografado de usuários para categorias confidenciais do site, tais como a área de saúde ou finanças.
Segurança e proteção
Tenha cobertura sempre, com suporte para os mais recentes pacotes de criptografia AES/GCM e DHE para o sigilo de encaminhamento perfeito. Dados de usuários nunca são armazenados na nuvem.
Gerenciamento simplificado de certificados
Utilize os nossos certificados ou traga os seus próprios. Use nossa API para alternar facilmente seus certificados sempre que necessário.