SSL Offloading

Cần ưu tiên về tính bảo mật hay nên ưu tiên về hiệu năng hoạt động?

Nếu lựa chọn ưu tiên về bảo mật theo đó hiệu năng hoạt động sẽ không cao. Lựa chọn này liệu có tốt đối với bất kỳ hoạt động kinh doanh nào hay không.

Với SSL certificate, sử dụng bảo mật dựa vào giao thức mã hóa SSL (Secure Socket Layer) để bảo vệ dữ liệu truy cập từ người dùng tới máy chủ dịch vụ. Hầu hết các trang web hiện nay đều được mã hóa bằng giao thức SSL (Secure Sockets Layer) và TLS (Transport Layer Security). Đây là một bước phát triển tích cực về mặt bảo mật vì nó ngăn chặn những kẻ tấn công đánh cắp hoặc giả mạo dữ liệu được trao đổi giữa trình duyệt web và máy chủ web hoặc ứng dụng web. Mặc dù SSL là một giải pháp để mã hóa và bảo vệ an toàn dữ liệu, tuy nhiên nó cũng gây ra độ trễ.

Khi người dùng gửi một yêu cầu tới máy chủ dịch vụ, máy chủ dịch vụ sẽ là nơi giải mã thông tin yêu cầu này và kiểm tra bất thường, sau đó mã hóa lại và gửi một phản hồi lại phía người dùng. Quá trình giải mã SSL và mã hóa lại là một tác vụ cần rất nhiều năng lực tính toán, do đó hiệu năng các máy chủ có thể bị giảm khi lưu lượng truy cập tăng đột biến.

Làm cách nào để vừa nâng cao hiệu năng hoạt động của máy chủ lại vừa đáp ứng được tính bảo mật và toàn vẹn dữ liệu? Giải pháp đề xuất đó là triển khai SSL offloading.

SSL Offloading là gì?

SSL certificate sử dụng các khóa mật mã cho nhiệm vụ mã hóa và giải mã. Một vài năm trước đây, một trong các thuật toán mã hóa phổ biến nhất được sử dụng đó là RSA (1024 bit hoặc 2048 bit), tuy nhiên hiệu quả cần nhắc tới hệ mật mã trên đường cong Elliptic (ECC). Dù sử dụng ECC là phương pháp SSL Offloading hiệu quả tuy nhiên đây vẫn là tác vụ cần sử dụng cần rất nhiều năng lực tính toán và nó khiến hoạt động mã hóa giải mã SSL của máy chủ trở nên chậm chạp.

SSL Offloading giảm bớt gánh nặng cho máy chủ bằng cách thực hiện mã hóa giải mã thay cho máy chủ, tăng tốc quá trình xử lý cũng như tăng hiệu năng hoạt động của máy chủ. SSL Offloading thường là tính năng có trong các thiết bị ADC (application delivery controller).Thiết bị ADC thường được đặt giữa trình duyệt người dùng và máy chủ. ADC sẽ nhận các yêu cầu từ khách hàng, thực hiện giải mã lưu lượng, và gửi tới máy chủ.

SSL Offloading cần thiết cho các doanh nghiệp cần xử lý lượng lớn dữ liệu truy cập đồng thời và cần đảm bảo tính toàn vẹn dữ liệu khách hàng như Ngân hàng, Thương mại điện tử, viện chăm sóc sức khỏe hoặc SaaS.

SSL Offloading hoạt động như thế nào?

Có hai cách SSL Offloading hoạt động:

  1. SSL termination
  • Client gửi yêu cầu tới ADC dưới dạng HTTPS, ADC sẽ kiểm tra xem lưu lượng có hợp pháp hay không
  • Dữ liệu sau đó sẽ được truyền tới Máy chủ qua HTTP, dữ liệu không được mã hóa

Mặc dù truyền ở dưới dạng văn bản không có mã hóa giữa ADC và máy chủ, tuy nhiên tin tặc khó có thể thực hiện khai thác vì giao tiếp qua HTTP diễn ra được bảo vệ bởi hệ thống tường lửa. Tuy nhiên phương pháp này không được khuyến nghị cho các doanh nghiệp xử lý các thông tin nhạy cảm như số an sinh xã hội, sổ địa chỉ, hay thông tin chi tiết ngân hàng. Mục đích chính của phương pháp này là hiệu năng cho máy chủ.

2. SSL Bridging

Quá trình kết nối ban đầu của SSL Bridging tương tự như SSL Termination.

  • Đầu tiên yêu cầu của client truyền tới ADC qua HTTPS (có mã hóa).
  • ADC sẽ giải mã dữ liệu và phân tích nội dung gói tin cho Load Balancing, phân tích bảo mật, mối nguy hại từ Malware, hay các bất thường.
  • SSL Bridging sẽ mã hóa lại dữ liệu trước khi gửi tới Máy chủ.
  • Máy chủ sẽ thực hiện giải mã thông tin, trả lời yêu cầu từ phía Client và mã hóa lại trước khi gửi phản hồi này tới ADC.

Trong quá trình này, thông tin dữ liệu vẫn được bảo mật. Điều này thực sự hữu ích cho các doanh nghiệp xử lý thông tin nhạy cảm của khách hàng.

Cả hai phương pháp SSL Termination và SSL Bridging đều phục vụ mục đích giải phóng các máy chủ khỏi gánh nặng xử lý tính toán SSL, nâng cao hiệu suất của các ứng dụng web mà không ảnh hưởng tới an toàn bảo mật thông tin.

Lợi ích của SSL Offloading

SSl Offloading được xử lý bởi một thiết bị bảo mật từ bên thứ ba. Nó không chỉ đảm bảo tăng tốc xử lý SSL mà còn nâng cao hiệu suất của máy chủ, ứng dụng. Một số lợi ích từ SSL Offloading:

  • Đảm bảo các trang web và ứng dụng được bảo vệ trước các mỗi đe dọa như DDoS, hay tấn công man-in-the-middle
  • Duy trì hiệu năng, tính sẵn sàng của các máy chủ bằng các cân bằng tải giữa các máy chủ khác nhau. Khi lưu lượng truy cập tăng đột biến, các máy chủ không bị quá tải và ngừng hoạt động. Đảm bảo khả năng mở rộng
  • Tăng tốc kết nối SSL và tăng hiệu suất

Array Networks SSL Intercept

Array Networks cung cấp các thiết bị bảo mật hàng đầu trong ngành. Với Array Networks SSL Intercept – đóng vai trò là thiết bị cân bằng tải, đảm bảo hiệu năng và tính sẵn sàng cao cho các máy chủ, giảm tải quá trình xử lý cho máy chủ

Array Networks SSL Intercept của Array Networks đi kèm với nhiều tùy chọn triển khai và có thể được quản lý tập trung.

Hiện tại Tech Horizon là nhà phân phối chính thức của Array Networks tại thị trường Việt Nam.
Quý đơn vị có nhu cầu vui lòng liên hệ với chúng tôi để được hỗ trợ tư vấn và lắp đặt các thiết bị bảo mật với chi phí đầu tư cạnh tranh, giải pháp đa dạng, hỗ trợ kỹ thuật tận tình.

————————————————————————-

CÔNG TY CP TMDV CÔNG NGHỆ CHÂN TRỜI (TECH HORIZON CORP) 

Trụ sở: Số 22, đường số 9, KDC Trung Sơn, Bình Hưng, Bình Chánh, TP.HCM
VP Hà Nội:Tầng 4, Sport Hotel, Làng Sinh viên Hacinco, Thanh Xuân, Hà Nội 
Website: https://techhorizonvn.com
Email: info@techhorizonvn.com
Điện thoại: 028 5431 6047 hoặc 024 6286 2118
Fanpage: Tech Horizon Việt Nam

 Xuân Hoàng/ Tech Horizon

Tags:

Leave a comment

Hey, so you decided to leave a comment! That's great. Just fill in the required fields and hit submit. Note that your comment will need to be reviewed before its published.