随着泄密事件的增加，很多企业都选择用SSL来保护数据传输，SSL流量大幅攀升。然而，SSL其实是把双刃剑，使用不当的话，反而会增加更多的安全隐患。

SSL加密之下，暗流涌动

云计算的成熟让越来越多的企业将电子邮件、客户关系管理（CRM）、商业智能和文件存储等关键应用转移至云端，他们需要像监控和保护内部运行的应用一样监控和保护这些应用。

然而，在这些基于云端的应用中，有许多使用的是SSL，这成为了公司防护体系中的一个漏洞。原本SSL可以提高业务系统的安全性，降低信息泄露风险，这点在棱镜门事件之后，基本成为企业共识。但这同时给不法之徒带来可乘之机：恶意软件、木马、内部滥用、黑客入侵事件都会夹杂在SSL的加密流量中，给企业带来意想不到的风险。

下图揭示了恶意软件的开发者如何利用加密流量来隐藏攻击行为：

上面只是冰山一角，由于加密流量的存在，无论入侵、数据泄露还是非法滥用都存在前所未有的监管盲区。因此，为保障端到端的安全，公司需要检测源自内部用户的外流SSL流量，以及来自外部用户的向内流入至公司应用服务器的SSL流量，以消除公司防护体系中的盲点。

企业应该如何检查SSL流量中的威胁呢？

洞察SSL流量，没那么简单

目前主要采用防火墙、IPS等安全产品来检测流量、阻止入侵、中止恶意软件以及控制用户对应用的访问权。为了保护公司内的用户安全，这些产品必须检测所有的通信，而非仅仅是明文流量。 很不幸，许多防火墙、入侵防护和威胁防护产品无法跟上日益增长的SSL加密需求。

雪上加霜的是，目前主流SSL密钥开始从1024- bit向2048-bit转型，这令传统安全设备更加不堪重负，因为2048-bit证书需要的解密处理能力大约是1024-bit证书的6.3倍。而4096-bit密钥长度目前占了证书机构中所有证书的20%，随着SSL证书密钥的长度不断增加，在这些不断增长的解密需求下，许多安全设备出现了崩溃。

在《SSL性能问题》报告中，NSS实验室发现在解密2048- bit加密流量时，八家领先的下一代防火墙厂商的效能出现了严重下降。这导致NSS实验室认为，在不使用专用SSL解密设备的情况下，可能无法在企业网络中进行SSL检测。

企业又该如何解决SSL流量检查的难题？

A10 SSL insight解决方案

A10 SSL Insight功能包含在Thunder ADC的标准功能中，为企业提供了集成负载均衡、高可用性和SSL解密功能的完整解决方案：

Thunder ADC可作为SSL转发代理拦截SSL流量，让企业能够轻而易举地部署以保护通信。

除了内联部署外，在被动模式中，还可以增加入侵检测系统和取证工具等安全设备进行联动。在这种情况情况下，Thunder ADC负责解密SSL流量并将非加密流量拷贝转发至非内联安全设备上进行检测。