Чем вы защищаете свои 46% трафика HTTP/2 на периметре

Чем вы защищаете свои 46% трафика HTTP/2 на периметре
После того как мы разобрались, что 60-80% трафика на периметре идет по SSL/TLS, то теперь новая проблема: все больше трафика на периметре идет по HTTP/2.

HTTP/2 использует одно TCP соединение, для передачи нескольких файлов с сайта. Это ускоряет работу браузера и одновременно усложняет работу средствам защиты. Подробнее про HTTP/2 тут  https://www.cossa.ru/152/129649/




Ускорение очень хорошо показано на этом графике для сайта на Bitrix:
https://klondike-studio.ru/blog/ssl-na-bitriks-virtualnoy-mashine-s-pomoshchyu-let-s-encrypt/


Проверьте в своем межсетевом экране как он проверяет HTTP/2 и есть ли в нем анализаторы для HTTP/2.

https://www.ssllabs.com/ssl-pulse/  считает, что уже 46,3% трафика это HTTP/2
https://w3techs.com/technologies/details/ce-http2  считает также


Для примера, это список приложений на Palo Alto Networks NGFW, которые используют HTTP/2 у меня дома

ApplicationBytes
web-browsing1322877331
facebook-video951668819
youtube-uploading168097106
gmail-base131868186
facebook-base121796345
google-base108236643
twitter-base83510736
youtube-base81062086
clearspace43943037
gmail-posting23669733
google-maps19082103
google-play13946745
draw.io-base9640522
google-calendar-base9391347
google-hangouts-chat9365192
evernote-base8587980
vkontakte-base8018966
google-hangouts-base7970178
slack-base7687055
facebook-posting6703854
gmail-downloading5238196
instagram-base3703381
google-app-engine2830855
blogger-blog-posting2484407
mail.ru-base2067201
google-analytics2064223
evernote-downloading1707771
gmail-uploading1152825
facebook-social-plugin1103539
google-hangouts-audio-video925118
google-cloud-storage-base643062
pinterest-base593854
flickr-base585384
vimeo-base570248
google-docs-base542159
twitch285885
facebook-chat218770
cloudinary-base174181
google-update139202
twitter-uploading136396
zendesk-base84180
yahoo-web-analytics74596
windows-azure-base48229
zoom-base35176
quora-base30649
rss28858
hubspot26131
google-docs-editing25906
google-plus-base23087
appdynamics21425
youtube-posting20795
linkedin-base19762
youtube-streaming16372
twitter-posting11722
lastpass11361
dropbox-base11228
office365-consumer-access8126
soundcloud-base2284

И важно, что HTTP/2 должен использовать TLS 1.2, поэтому вы не просто будете искать атаки и вирусы внутри HTTP/2, а еще и внутри TLS 1.2.

Напомню, что расшифровать весь TLS трафик не получится, потому что не все приложения согласны на вскрытие SSL и используют SSL Pinning и проверку клиентских сертификатов. Плюс в своей компании вы еще и ограничены законодательством: нельзя расшифровывать банковские данные, данные медицинских анализов и др.


Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

ksiva

Пусть будет утренний в честь того, что я его создал утром.