应用网络服务

思科广域应用服务SSL加速: 提高广域网应用传输速度

概述

SSLv3协议也被称作传输层安全第1版(TLSv1)协议,该协议是最常用的IP网络传输内容加密协议之一。目前受SSL/TLS保护的应用迅速增多,包括基于Web和非基于Web的应用,这意味着必须对受保护的流量实施基于策略的广域网优化。最近,企业越来越多地利用SSL/TLS加密网上传输的内容,而且这一趋势呈迅速发展之势。此外,许多客户虽然尚未在企业中部署SSL,但他们希望确保在将来部署SSL时能够同时拥有一个广域网优化解决方案。


如本文所述,思科® 广域应用服务(WAAS)是一个全面的广域网优化解决方案,能够加速广域网上传输的应用,向分支机构传输视频并对分支机构IT服务进行本地托管。


通过在种类广泛的广域网优化技术中增加强大的SSL加密技术,思科WAAS为整套解决方案提供了一个核心组件,既能保证现有SSL商业应用的安全传输,又能实施新的软件即服务(SaaS)和虚拟桌面(VDI)项目。


思科WAAS的客户使用案例数量庞大而且遍及各行各业,他们在SSL加密保护的环境中部署了广域网加速技术。例如,许多行业和机构采用了Web代理服务器来前置数据中心的关键业务应用,并利用SSL对代理服务器和分支站点远程用户之间的流量进行加密。思科WAAS优化了这些应用的传输性能,同时端到端地保证了SSL加密–而其它同类产品的SSL功能不提供这种支持。为了最大限度提高应用流量的安全性,WAAS设备为静态存储数据提供了额外的加密保护,而且能够与思科ACE应用交换机共同部署在一个端到端的SSL优化架构中,以进行SSL卸载,以减轻对服务器的压力。


思科WAAS提供的SSL优化功能不但与现有的数据中心密钥管理与信任模式完全集成,而且能够用在广域网优化与应用加速组件中。私钥和数字证书可存储在Cisco WAAS Central Manager上一个安全的库中。这些私钥和数字证书将以一种安全的方式分发给数据中心的思科WAAS设备并存储在一个安全库中,从而维持了服务器专用密钥的信任边界。基于思科WAAS的SSL优化对于最终用户和服务器完全透明,而且不要求改变网络环境。


思科WAAS还简化了企业对SSL优化解决方案的部署与管理,同时改进了大型部署环境的管理。思科WAAS的自发现机制支持对SSL流量的自动识别、截取、优化和加速,即使在客户端使用显式代理的环境中也是如此。


挑战

在用于加密的多种密码协议中,SSL/TLS是最重要的协议之一。目前SSL/TLS加密的应用在通过广域网链路传输的流量中所占的比例越来越高。在广域网数据中,安全的加密流量数量庞大,而且在逐渐增长。标准的数据冗余消除(DRE)技术无法优化广域网数据,因为这种加密流程会生成不断变化的数据流,即使冗余数据也变得难以清除,而且完全无法取消复制字节模式。如果没有SSL优化,思科WAAS仍能利用传输流优化(TFO)对加密的流量进行普通优化。在网络中有高带宽延迟产品(BDP)1而且无法填满传输管道的情况下,针对加密的安全数据采用TFO大有助益。


在将思科WAAS DRE和Lempel-Ziv (LZ)压缩等具体的SSL优化技术应用于数据时,必须终止SSL连接并对流量进行解密。SSL优化的最低限度要求是必须:

  • 在临近的思科WAAS广域应用引擎(WAE)处解密流量,并对解密后的明文数据进行广域网优化
  • 重新加密优化后的流量,以保护内容的安全性,以便顺利地在广域网上传输
  • 在远端的思科WAAS WAE上对加密并优化的流量进行解密,并对广域网优化进行解码
  • 重新加密现在的原始流量并将其转发到目的地服务器


在终止SSL连接并对加密数据进行广域网优化时需要使用服务器私钥。此外,解密后的明文数据必须存储在磁盘上,以供将来参考,并充分发挥DRE的优势。在数据安全性至关重要的环境中,这些要求意味着严峻的安全挑战。对于任何提供SSL加速的广域网优化解决方案,安全都是最重要和最敏感的问题。


要想成为适合企业部署的全方位解决方案,SSL优化技术必须满足以下安全要求:

  • 解决方案必须不影响私钥的安全性。私密的信任边界必须得到保护,而且不能将这些密钥应用于安全的数据中心之外。私钥和证书应该存储在数据中心一个安全的电子存储库中。
  • 任何情况下都必须为存储的信息提供数据存储加密,以防止在设备被盗或硬盘拆除时数据遭到非授权访问。
  • 磁盘加密密钥不能保存在磁盘中,应该通过一个安全的链接从一个受保护的中央管理系统获取密钥,然后保存在内存中,以便在发生磁盘丢失时仍能确保数据安全性。


该解决方案的另一个主要特性是透明性。在部属SSL广域网优化时,客户端与服务器应当不受任何影响、也不能要求为运行SSL上的广域网加速而进行特别配置。特别是,客户端与服务器不应觉察到任何广域网优化设备的存在,也不应被迫改变其代理或其它设置。SSL加速机制应与所有类型的客户端浏览器代理设置兼容,包括自动识别与显式代理配置。


思科WAAS SSL优化技术的优势

思科WAAS是一个业界领先的综合广域网优化与应用加速解决方案。思科WAAS中的SSL优化功能与客户部署环境中现有的公共密钥基础设施(PKI)信任模式透明集成,而且能够在不影响现有数据中心密钥管理安全性的前提下轻松部署。


BDP是在任何给定时间,两个端点之间的广域网链路上传输的最高数据量。BPD的计算方式是数据链路的每秒比特数乘以每秒的端到端延迟。


在思科WAAS中, SSL信任模式在数据中心保持不变。服务器私钥安全地存储在数据中心的核心思科WAAS WAE和思科WAAS Central Manager上,而且永远不会被推送到分支机构。临时性的SSL连接密钥将通过一个边缘思科WAE和一个核心思科WAE之间的安全HTTPS连接,从安全的核心思科WAE发送到边缘思科WAE。Cisco WAAS SSL Application Optimizer 以一种完全透明的模式运行,不要求对客户端或目的地服务器进行任何更改。图1显示了思科WAAS SSL 优化功能如何与现有的应用密钥交换机制透明集成,以及如何保持服务器专用密钥的信任边界。


思科WAAS SSL 优化功能


  • 在初始客户端SSL握手协议中,数据中心的核心思科WAE将参与会话。利用思科WAE设备证书可以安全地建立思科WAE之间的连接,思科WAE将互相进行交叉验证。
  • 在发生客户端SSL握手而且数据中心思科WAE获得了连接密钥后,数据中心思科WAE将通过安全的链路将连接密钥(临时性)发送到边缘思科WAE,以开始解密客户端流量并应用DRE。
  • 然后被优化的流量将通过思科WAE对等连接密钥重新加密,并在带内通过目前的连接保持完全透明的状态传输到数据中心思科WAE。
  • 继而核心思科WAE将对优化的流量进行解密,重新对原信息进行组合,并利用服务器和数据中心思科WAE之间协商的另外一个连接密钥对这些信息进行重新加密。
  • 如果后端SSL服务器要求客户端发送一个SSL证书,核心思科WAE将向客户端索要一个证书。核心思科WAE将验证该客户端,采用的方法是利用一个可信的Certificate Authority (CA)或一个Online Certificate Status Protocol (OCSP)应答器对SSL证书进行检验。


与其它提供SSL支持但只能与部分集成现有安全架构的解决方案相比,Cisco WAAS SSL Application Optimizer拥有显著的优势:

  • 架构简单而且易于部署: 通过增加对通配符证书和IP地址的支持,思科WAAS允许创建汇聚式服务。
  • 维持信任边界:思科WAAS不会将私钥分发给除安全的数据中心思科WAAS设备之外的其它设备。
  • 对密钥进行安全的可扩展存储:所有证书和专用密钥都安全地存储在Cisco WAAS Central Manager上,而且只分发给数据中心的思科WAAS设备。这些私钥永远不会分发给边缘思科WAAS设备。
  • 磁盘加密: 利用由Cisco WAAS Central Manager管理的磁盘加密密钥,可以进行选择性加密或全局加密。这种方法能够确保在思科WAAS设备被破坏的情况下写入至思科WAAS设备的数据无法使用。
  • 与现有代理基础设施的互操作性:即使在已经部署了Web代理或客户端使用显式代理的环境中,思科WAAS也完全支持对SSL流量的自动识别、截取、优化和加速。
  • OCSP支持: 通过支持OCSP, 思科WAAS能够对证书进行实时安全检查,从而提高了安全性。
  • 客户端验证支持: 在最初建立连接时,思科WAAS支持基于客户端证书的验证。
  • 基于角色的访问控制(RBAC): Cisco WAAS Central Manager RBAC架构允许对SSL配置和监控机制进行受控访问。


思科WAAS SSL优化解决方案: 简单、可扩展、易于部署


思科WAAS提供了业界最全面然而部署非常简单的SSL优化架构。思科WAAS 解决方案在配置SSL加速服务方面灵活性极高并具有显著的优势:

  • SSL加速服务配置支持通配符证书和任何IP,此外还允许针对每个服务使用多个IP地址和TCP端口。单个SSL加速服务可用于汇聚多个后端服务器。
  • 支持广泛的证书格式,包括私密性增强邮件(PEM)和公共密钥密码标准12 (PKCS12)。思科WAAS支持证书链,并提供自签名证书,以支持快速概念验证。思科WAAS还能够生成证书签名请求(CSR)。
  • 思科WAAS提供了一个根证书授权方的默认列表,而且允许添加新的证书授权方。
  • SSL加速服务支持各种密码编码方法,包括流密码和块密码。 思科WAAS还支持Diffie-Hellman密钥交换方法,这种方法是Firefox和Apache等主流浏览器和服务器的默认配置。该默认密码组合包含联邦信息处理标准(FIPS) 140-2中的所有加密和MAC方法。
  • SSL加速服务提供对SSLv3和TLS的默认支持。此外,SSL加速服务还能够定制协议选择并限制对协议的使用。


维持数据中心的信任模式


Cisco WAAS SSL Application Optimizer要求将私钥保存在数据中心的思科WAAS设备中,远程分支机构的思科WAAS设备永远不需要使用这些密钥。这种方法将密钥的使用范围限制在安全的数据中心之内,从而保证了密钥的安全性。


联系我们