Das Aufbrechen von TLS-Verbindung, um diese Inhalte untersuchen zu können polarisiert die IT. Beide Seiten haben ihre Argumente, die jeweils schlüssig sind und für die IT respektive für die Unternehmen gilt es sich zu entscheiden, welchen Weg man gehen möchte.
Das Aufbrechen von TLS ist nicht gleich dem Aufbrechen von TLS, hier gilt es sehr genau zu differenzieren. Geht es um Service, die angeboten werden oder geht es um die Verbindungen, die ein Client zu externen Diensten und dem Internet aufbaut. Um die eigenen Service zu schützen ist die Entscheidung sehr einfach, hier ist das Aufbrechen der Verschlüsselung mit Sicherheitsgateways sehr sinnvoll, um zum Beispiel WAF und IPS zu nutzen, welches dann die Applikation absichert. Hier gibt es verschiedene Ansätze, um dies zu realisieren. Diese beginnen bei Load Balancern, ADC’s und WAF Appliances, gehen weiter über kommerzielle Module für Nginx oder Apache bis hin zu Funktionen moderne Firewalls, wie zum Beispiel einer Fortigate. Kommerzielle Load Balance oder ADC’s und auch WAF sind für die meisten IT Budget schon eine Herausforderung, um es mal vorsichtig auszudrücken. Wer aber zum Beispiel eine Fortigate Firewall mit der entsprechenden Lizenz hat, kann durch eine geschickte Kombination von Reverse Proxy und den Optionen der Firewall einen guten Schutz seiner Webapplikationen erreichen. Dazu ist es aber dann notwendig, dass der Traffic mit der Fortigate an den passenden Stellen aufgebrochen wird. Dieses Beispiel hier zeigt, dass es so gut wie keine Argumente gegen das Aufbrechen von TLS-Verbindung im Beriech der eigenen Services gibt. Was für Webapplikationen gültig ist, gilt analog auch für andere verschlüsselte Services die zum Beispiel mit IPS & Co. geschützt werden können.
Was bei Diensten noch einfach ist, wird bei einem Client etwas komplizierter und man ist gleich beim Thema, was die IT in zwei Lager spaltet. Das eine Lager ist ein Verfechter des Aufbrechens und betriebt dies mit all den Konsequenzen, die daraus entstehen und das andere Lager bricht die Verbindungen nicht auf und nutzt einen anderen Weg zum Schutz des Endpoints. Um es gleich vorwegzunehmen, ich bin nicht für das generelle Aufbrechen der TLS-Verbindungen einen Client zu den Diensten oder Webressourcen. Es gibt Ausnahmen, bei denen ein Aufbrechen sinnvoll ist, aber darauf geht der Beitrag nicht ein, hier soll vielmehr der Standardbenutzer und dessen normale Arbeit betrachtet werden. Gegen das Aufbrechen sprechen viele Gründe, das Ausrollen und Aktualisieren entsprechende Root-Zertifikate, den Benutzern die Möglichkeit nehmen das Zertifikat der Gegenstelle selbst prüfen zu können, der Einsatz von entsprechend leistungsfähigen Securitygateways die in der Lage sein müssen, die Bandbreite und das Datenvolumen ausreichend schnell zu verarbeiten und das Problem, wenn der Client sich nicht mehr hinter einem solchen Gateway befindet. Was ein sehr wichtiges Argument ist, sich gegen ein Security-Konzept zu entscheiden, was die Sicherheit vom Gateway abhängig macht, hinter dem sich der Client befindet. Daher ist es sinnvoller, dass sich der Client unabhängig seines Standorts und somit des Gateways hinter dem er sich befindet, selbst schützen muss, was ein Aufbrechen von TLS-Verbindung am Gateway obsolet macht, da die Daten am Client entsprechend unverschlüsselt vorliegen und u.a. geprüft werden können. Zudem ist eine moderne Endpoint Security Lösung, wie Crowdstrike und ihrem multidimensionalen Ansatz in Kombination mit einer DNS-Security ein deutlich effektiverer Schutz als eine klassische Gateway Security aus AV, IPS und URL-Filter, denn diese kann keine Verhaltensanalyse durchführen und ein klassischer AV bietet gegen die modernen Angriffe keinen wirklichen Schutz, zudem gerade die Dateilosen Angriffe von ihm sowieso nicht erkennt werden. Dies bedeutet zwar nicht, dass man seine Perimeter-Firewalls jetzt nicht mehr benötigt, was sie ein Schutz bieten, sollte auch eingesetzt werden, nur sollte man sich darauf nicht verlassen, dass der Perimeterschutz es schon richten wird. Hier ist ein Umdenken nötig und das Loslassen von alten und überholten Konzepte, die nicht mehr in die moderne IT passen.