F5：打造全數(shù)據(jù)通路防護(hù)下的體系架構(gòu)，為企業(yè)應(yīng)用保駕護(hù)航

全球數(shù)字化轉(zhuǎn)型持續(xù)加速，越來(lái)越多的企業(yè)業(yè)務(wù)都呈現(xiàn)出了互聯(lián)網(wǎng)化、移動(dòng)化等特征，這使得“應(yīng)用”的數(shù)量呈現(xiàn)爆炸式的增長(zhǎng)。IDC研究數(shù)據(jù)表明，全球應(yīng)用數(shù)量將從 2019 年的 10 億，增長(zhǎng)到 2025 年的 48 億。“API”已經(jīng)擴(kuò)展到了云服務(wù)、微服務(wù)和移動(dòng)應(yīng)用程序，這給企業(yè)IT架構(gòu)帶來(lái)了巨大的挑戰(zhàn)，安全問(wèn)題也日益嚴(yán)峻。

與此同時(shí)，大量的業(yè)務(wù)依托于應(yīng)用對(duì)外進(jìn)行發(fā)布，企業(yè)暴露在互聯(lián)網(wǎng)上的攻擊面也越來(lái)越多，供應(yīng)鏈攻擊、密碼泄漏、零日漏洞等安全風(fēng)險(xiǎn)都給企業(yè)帶來(lái)了致命的損失。

企業(yè)發(fā)展，安全先行。F5作為多云應(yīng)用安全和應(yīng)用交付服務(wù)技術(shù)的領(lǐng)導(dǎo)者, 在安全領(lǐng)域有著自己獨(dú)特的視角。F5中國(guó)區(qū)安全事業(yè)部總經(jīng)理陳亮在2022年F5多云應(yīng)用服務(wù)科技峰會(huì)會(huì)后專訪中表示，當(dāng)前應(yīng)用安全挑戰(zhàn)主要有以下六個(gè)。

首先是應(yīng)用快速迭代，但是安全防護(hù)策略滯后。應(yīng)用的部署時(shí)間已經(jīng)從原來(lái)的月、周，縮短到了日、分、秒，而安全策略由于缺乏自動(dòng)化的部署方式而變得滯后，影響了應(yīng)用發(fā)布的速度。

第二，應(yīng)用無(wú)處不在，使得安全策略很難達(dá)成一致。傳統(tǒng)數(shù)據(jù)中心的安全、公有云中的安全，以及容器云的安全，部署策略和方式、防護(hù)手段不盡相同，很難達(dá)到一致的安全防護(hù)要求。

第三，機(jī)器人的攻擊和欺詐行為越來(lái)越難以防范，很多黑客利用機(jī)器人的攻擊、人工智能的攻擊方式來(lái)進(jìn)行攻擊，難以防范。

第四，傳統(tǒng)應(yīng)用和現(xiàn)代應(yīng)用并存，增加了防護(hù)的難度。

第五，管理和防護(hù)API的風(fēng)險(xiǎn)成為了新的挑戰(zhàn)。現(xiàn)代應(yīng)用的發(fā)布，互相之間的調(diào)用，都是通過(guò)API的形式來(lái)實(shí)現(xiàn)。管理、防護(hù)API的風(fēng)險(xiǎn)對(duì)于企業(yè)來(lái)說(shuō)是一個(gè)非常大的挑戰(zhàn)。

第六，開源創(chuàng)新危機(jī)四伏。企業(yè)在使用開源軟件來(lái)創(chuàng)新，提升敏捷性的同時(shí)，如何將這些危機(jī)消除掉，是亟待解決的問(wèn)題。

“安全是企業(yè)的生命線。無(wú)論是CIO，還是安全團(tuán)隊(duì)，包括運(yùn)維團(tuán)隊(duì)和開發(fā)團(tuán)隊(duì)，都要達(dá)成統(tǒng)一的共識(shí)，將安全放在首位?！标惲帘硎?。

IDC的報(bào)告顯示，從2020年至2025年，企業(yè)在安全方面的投入增幅已經(jīng)超過(guò)了IT投入的增幅。

F5作為全球領(lǐng)先的應(yīng)用交付網(wǎng)絡(luò)領(lǐng)域廠商，20余年來(lái)一直在為企業(yè)應(yīng)用提供全面的安全防護(hù)解決方案。近年來(lái)，通過(guò)收購(gòu)NGINX和Shape Security，不斷豐富F5的產(chǎn)品線，幫助客戶打造了一個(gè)可以實(shí)現(xiàn)全數(shù)據(jù)通路防護(hù)下的體系和架構(gòu)。陳亮在采訪中對(duì)此進(jìn)行了詳細(xì)介紹。

首先，可信應(yīng)用訪問(wèn)的能力。當(dāng)今，客戶的應(yīng)用已經(jīng)發(fā)生了很大的變化，應(yīng)用所部署的環(huán)境也多種多樣，必須要有一個(gè)可信應(yīng)用訪問(wèn)的能力，來(lái)進(jìn)行人機(jī)識(shí)別、防欺詐識(shí)別，同時(shí)也有授信訪問(wèn)，實(shí)現(xiàn)可信安全地訪問(wèn)后臺(tái)應(yīng)用。

第二，增強(qiáng)基礎(chǔ)架構(gòu)安全的能力。因?yàn)閼?yīng)用的爆炸帶來(lái)了大量用戶的線上請(qǐng)求，對(duì)企業(yè)基礎(chǔ)架構(gòu)的安全處理能力有了更高的要求。在基礎(chǔ)架構(gòu)安全方面，F(xiàn)5有DDOS清洗，南北/東西流量邊界安全服務(wù)，不再以數(shù)據(jù)中心作為邊界，而是重新從應(yīng)用視角出發(fā)定義了新的邊界。值得注意的是，針對(duì)DNS的攻擊是在應(yīng)用層攻擊中排名第二的攻擊方式，僅次于HTTP，然而卻往往被忽略了，業(yè)內(nèi)很少有針對(duì)DNS防護(hù)的產(chǎn)品。F5針對(duì)縱深的DNS防護(hù)安全架構(gòu)，提出了新的理念，能夠幫助客戶應(yīng)對(duì)相應(yīng)的挑戰(zhàn)。

第三，流量可視與精分的能力。安全是一個(gè)復(fù)雜的工程，除了應(yīng)用層的安全，還涉及到數(shù)據(jù)安全、應(yīng)用安全、代碼安全等，此時(shí)就需要把加密的流量通過(guò)安全網(wǎng)關(guān)的設(shè)備進(jìn)行處理，將所有的安全技術(shù)聯(lián)動(dòng)在一起，通過(guò)相應(yīng)的算法和調(diào)動(dòng)策略，充分發(fā)揮安全網(wǎng)關(guān)的能力。這時(shí)，如何解決部署、拓展困難，以及網(wǎng)關(guān)出現(xiàn)故障后流量中斷的問(wèn)題成為企業(yè)面臨的挑戰(zhàn)。

F5針對(duì)SSL流量精分和可視流量具備靈活調(diào)度的能力，將所有安全網(wǎng)關(guān)以資源池或安全域的形式進(jìn)行旁路部署，并對(duì)流量進(jìn)行編排、解密和可視化，如此一來(lái)，什么樣的流量請(qǐng)求交給哪一個(gè)安全網(wǎng)關(guān)設(shè)備進(jìn)行分級(jí)處理，都可以進(jìn)行調(diào)配、分流，極大提高安全的互相協(xié)調(diào)和可擴(kuò)展的能力。

第四，WEB應(yīng)用和API安全的能力。大量的API請(qǐng)求使得應(yīng)用的邊界消失，API的安全邊界也消失了，傳統(tǒng)的WAF正在消亡。Gartner提出了一個(gè)最新的理念---WAAP的防護(hù)架構(gòu)，包含了WEB應(yīng)用，API防護(hù)，DDoS和Bots四位一體的能力。Gartner指出，WAAP將成為后續(xù)客戶大量部署、使用的一個(gè)關(guān)鍵技術(shù)。到2024年將有70%的組織在多云的環(huán)境下趨向于使用WAAP的技術(shù)。

F5完全具備這四個(gè)能力，并通過(guò)多云環(huán)境統(tǒng)一的應(yīng)用安全，實(shí)現(xiàn)了不同環(huán)境下的統(tǒng)一安全策略調(diào)配，以此發(fā)揮更大的作用。同時(shí)，也可以更好地整合企業(yè)現(xiàn)有的安全能力，將傳統(tǒng)的WAF服務(wù)和WAAP架構(gòu)并存，強(qiáng)化安全能力。WAAP也可做成按需的形式，既提高安全性，也提高訪問(wèn)的效率；或?qū)AP的能力移植在邊緣環(huán)境、云環(huán)境里面進(jìn)行使用等。

總之，無(wú)論用戶把應(yīng)用部署在哪里，F(xiàn)5 的WAAP能力都能夠如影相隨，把F5的安全能力投放到應(yīng)用所部署的位置。

第五，可信開源的能力。F5近日正式發(fā)布NGINX企閱版（NGINX OSSub），能夠幫助企業(yè)在使用開源能力的時(shí)候，防范五種開源風(fēng)險(xiǎn)：技術(shù)路線風(fēng)險(xiǎn)、知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)、信息安全風(fēng)險(xiǎn)、技術(shù)能力風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)。

第六，安全洞察與AI智能的能力。在端到端的訪問(wèn)請(qǐng)求中，會(huì)產(chǎn)生大量的、可用的、可分析的數(shù)據(jù)，所有的信息都可以通過(guò)遙測(cè)的方式傳遞給F5的大腦，也可以傳遞給企業(yè)客戶自建的大數(shù)據(jù)分析平臺(tái)，來(lái)實(shí)現(xiàn)自動(dòng)化策略的下發(fā)、防欺詐的智能識(shí)別，提升用戶的訪問(wèn)體驗(yàn)。端到端數(shù)據(jù)的處理，大數(shù)據(jù)、人工智能、機(jī)器學(xué)習(xí)等技術(shù)的結(jié)合，可以極大發(fā)揮出數(shù)據(jù)的價(jià)值。

“所有的能力聚合在一起以后，F(xiàn)5可以通過(guò)自身的能力，隨時(shí)隨地保護(hù)、交付，并優(yōu)化任何應(yīng)用和API?！标惲帘硎?。

企業(yè)的快速發(fā)展和安全防護(hù)往往是矛盾的。F5不斷整合NGINX和Shape等產(chǎn)品線，進(jìn)一步提升了F5全數(shù)據(jù)通路防護(hù)的能力。安全左移的理念、API優(yōu)先的能力、可視化的能力、流量精分的能力，為企業(yè)提供了統(tǒng)一的威脅分析服務(wù)，助力企業(yè)應(yīng)對(duì)多云環(huán)境下的應(yīng)用風(fēng)險(xiǎn)，為企業(yè)提供強(qiáng)有力的應(yīng)用安全保障。