Günümüzde güvenlik gereksinimleri gereği network üzerinde clear text trafiğin geçmemesi ve bütün trafiğin şifreli bir şekilde geçmesi isteniyor. Bu yapıyı oluşturmak için uygulamanın çalıştığı sunucu üzerinde SSL/TLS konfigurasyonu yapılması gerekiyor. Bu durumun mümkün olmadığı zamanlarda ilgili servis için SSL Offload ayarı yapıp en azından Client-F5 arasındaki var olan trafiğin şifreli olmasını sağlayabiliyoruz. Bu sayede dış dünyada şifresiz bir trafiğin olması önüne geçilmiş oluyor. Ancak bu konuda olması gereken yapının hem client hem de sunucu tarafının SSL olması olduğunu unutmamalısınız.
F5 üzerinde kullanılan en yaygın SSL metotları aşağıdaki gibidir.
- SSL Offloading
- SSL Bridging / SSL Re-Encryption / Full SSL Proxy / SSL Terminations ( Farklı kaynaklarda bu isimleri görebilirsiniz.
- SSL Passthrough
SSL Offloading
F5 gibi yük dengeleyicilerin en büyük avantajlarından biri kendi üzerinde SSL Offloading yapabilmesidir. F5 bu işlemi donanım seviyesinde yapabildiği için trafiği şifreleme işlemini son derece hızlı bir şekilde yapabilmektedir.
SSL Offloading yapmanın iki önemli avantajı vardır. Birincisi, SSL şifreleme işlemi trafik henüz sunucuya ulaşmadan F5 üzerinde yapıldığı için sunucu üzerindek ek yük oluşturmasını engellenir. İkincisi ise her sunucuya ayrı ayrı sertifika dosyalarını yüklemek yerine bütün SSL konfigurasyonunun F5 üzerinde yapılmasıdır.
SSL Offloading işlemi için, F5 üzerinde clientssl profili oluşturulup ilgili virtual server’a atanması yeterli olacaktır. Serverside tarafında bir SSL profiline gerek yoktur.
SSL Bridging
Artık günümüzde yüksek güvenlik gereksinimi olan yapılarda trafik uçtan uca şifreli şekilde gönderilmesi gerekmektedr.
Bu durumlarda, SSL Offload yapmanın yanı sıra F5 ile sunucu arasındaki trafiğin de şifrelenmesi gerekir. Ancak aynı zamanda client trafiğinde bir değişiklik yapılması F5’in araya girmesini gerektiriyor. SSL bridging adı verilen bu yöntemde SSL trafik F5’de sonlandırıldıktan sonra eğer ihtiyaç varsa gerekli değişiklikler yapılıp sunucuya gönderilirken tekrar şifrelenir . Bunu yapmak için, clientSSL profiline ek olarak ServerSSL profilinin oluşturulması gerekmektedir.
SSL Passthrough
SSL Passthrough tipinde ise trafik BIG-IP F5 üzerinde şifrelenmiş bir şekilde geçmekte ve SSL sertifikaları sunucu üzerinde sonlandırılmaktadır. Bu topoloji için F5 üzerinde clientssl ya da serverssl profili oluşturulmasına gerek bulunmuyor.