對(duì)此，作為全球應(yīng)用交付領(lǐng)域的大咖，F(xiàn)5在剛剛舉辦的北京網(wǎng)絡(luò)安全大會(huì)(BCS 2019)，全方位、系統(tǒng)性的向中國(guó)市場(chǎng)展示F5的應(yīng)用安全理念、技術(shù)與解決方案。F5中國(guó)安全解決方案經(jīng)理陳玉奇指出，網(wǎng)絡(luò)安全已經(jīng)告別了個(gè)人英雄時(shí)代，復(fù)雜的流量本質(zhì)對(duì)應(yīng)用安全策略提出了更高更新的要求。“通過(guò)多年的實(shí)踐積累，F(xiàn)5提出了基于加密流量精分策略以及相應(yīng)的安全業(yè)務(wù)性能優(yōu)化方案，不僅幫助企業(yè)用戶實(shí)現(xiàn)流量可視化和流量加解密，同時(shí)能夠?qū)Ω黝惏踩夹g(shù)進(jìn)行編排調(diào)度，進(jìn)而全方位保障應(yīng)用安全。”
 

英雄束手，復(fù)雜的流量本質(zhì)帶來(lái)重重“黑幕”
 

“安全已經(jīng)脫離了個(gè)人英雄主義的年代”，在陳玉奇看來(lái)，網(wǎng)絡(luò)安全已經(jīng)進(jìn)入了一個(gè)新時(shí)代。

隨著互聯(lián)網(wǎng)技術(shù)發(fā)展，流量和業(yè)務(wù)的量級(jí)進(jìn)入了更高的狀態(tài)，企業(yè)為保障數(shù)據(jù)安全同步增加投入成本，而實(shí)際營(yíng)收卻可能呈下降趨勢(shì)。原因在于真正運(yùn)行在業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)流量更多是被競(jìng)爭(zhēng)對(duì)手、爬蟲(chóng)業(yè)務(wù)、黃牛、掃描器以及更多的未知機(jī)器訪問(wèn)所占用。這些訪問(wèn)造成了投入成本的不可控制，同時(shí)也增加了流量識(shí)別難度。與此同時(shí)，原本出于安全性考慮對(duì)數(shù)據(jù)進(jìn)行加密，也增強(qiáng)了數(shù)據(jù)隱私性，成為流量性質(zhì)鑒別和精分的又一難點(diǎn)，進(jìn)而為數(shù)據(jù)安全保護(hù)帶來(lái)了更大的挑戰(zhàn)。

流量精分的難點(diǎn)不僅僅來(lái)源于數(shù)據(jù)流量本身，還受到應(yīng)用層數(shù)據(jù)加密這一防護(hù)措施的影響。為了保護(hù)傳輸過(guò)程中的數(shù)據(jù)信息安全，同時(shí)防止已丟失的登錄憑證造成損害，企業(yè)安全團(tuán)隊(duì)對(duì)整個(gè)應(yīng)用層進(jìn)行加密處理，建立完整的撞庫(kù)/暴力破解防御體系。然而這種看似穩(wěn)妥的解決方案在保護(hù)了數(shù)據(jù)隱私的同時(shí)也成為黑客的保護(hù)傘。
 

對(duì)此，F(xiàn)5提出，只有通過(guò)流量精分，從特征到行為對(duì)流量進(jìn)行多維度分析處理，阻斷BOT的請(qǐng)求，才能真正避免惡意機(jī)器人造成的損失。
 

　　萬(wàn)物加密時(shí)代，在“黑暗”中探索安全
 

據(jù)介紹，當(dāng)前世界上有70%的互聯(lián)網(wǎng)流量被加密，80%的頁(yè)面訪問(wèn)需要經(jīng)過(guò)SSL到TLS加密，不透明的安全部署造成盲區(qū)，讓加密的安全威脅透過(guò)所有的安全設(shè)備并且不會(huì)被發(fā)現(xiàn)。
 

以SSL下的APT模型為例，過(guò)程中會(huì)涉及到探測(cè)、武器準(zhǔn)備、投送、利用、安裝、控制、行動(dòng)這一系列行為，這些行為有可能是BOT利用登錄憑證產(chǎn)生，也可能是因業(yè)務(wù)之間API調(diào)用產(chǎn)生，但在此探測(cè)、投送、利用、控制、行動(dòng)的工程中，所有數(shù)據(jù)都可能會(huì)被加密，這就可能導(dǎo)致安全團(tuán)隊(duì)精心布局的安全體系中出現(xiàn)一個(gè)漏洞。另外，絕大多數(shù)的魚(yú)叉釣魚(yú)、仿冒網(wǎng)站都因使用數(shù)據(jù)加密傳輸而無(wú)法得到完善的檢測(cè)防護(hù)，因此無(wú)論企業(yè)的安全更加注重對(duì)外來(lái)訪問(wèn)的防御還是由內(nèi)部對(duì)外的訪問(wèn)，部署在邊界的安全設(shè)備在萬(wàn)物加密的時(shí)代依然存在巨大的盲點(diǎn)。
 

為了解決盲點(diǎn)問(wèn)題，很多企業(yè)選擇對(duì)安全設(shè)備建立菊鏈?zhǔn)竭B接，實(shí)現(xiàn)所有的安全設(shè)備都具備對(duì)流量的加解密能力。但菊鏈?zhǔn)竭B接在邏輯上的合理性并不能彌補(bǔ)實(shí)際應(yīng)用中因多重加解密造成的效率低下，同時(shí)其復(fù)雜的部署策略也導(dǎo)致排障困難，故障點(diǎn)并發(fā)特征使性能和可用性較低。更重要的是，菊鏈作為固化網(wǎng)絡(luò)，無(wú)法根據(jù)業(yè)務(wù)需求進(jìn)行靈活擴(kuò)展。
 

在數(shù)據(jù)加密和菊鏈的雙重作用下，形成了當(dāng)前所有安全設(shè)備與網(wǎng)絡(luò)設(shè)備呈現(xiàn)緊耦合狀態(tài)的企業(yè)安全模型。但因緊耦合固有的低效率、低性能、難排障的弊端，導(dǎo)致安全策略不能輕易調(diào)整，進(jìn)而使安全模型對(duì)本地?cái)?shù)據(jù)中心和云端越來(lái)越多的出向流量、辦公網(wǎng)絡(luò)的外部訪問(wèn)，以及OA網(wǎng)絡(luò)與生產(chǎn)系統(tǒng)之間API調(diào)用這些場(chǎng)景，無(wú)法實(shí)現(xiàn)具有針對(duì)性的安全防護(hù)，一場(chǎng)基于對(duì)應(yīng)用安全現(xiàn)實(shí)需求的變革正亟待發(fā)生。
 

撥云見(jiàn)日，F(xiàn)5安全業(yè)務(wù)優(yōu)化平臺(tái)凸顯四大優(yōu)勢(shì)
 

通過(guò)多年來(lái)的實(shí)戰(zhàn)，F(xiàn)5已經(jīng)形成了一套日趨成熟的安全解決方案。面對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境下客戶希望其應(yīng)用業(yè)務(wù)更快速、更智能、更安全的需求與當(dāng)下安全模型緊耦合狀態(tài)之間的矛盾，F(xiàn)5提出針對(duì)雙向SSL/TLS加密流量的安全業(yè)務(wù)優(yōu)化調(diào)度，實(shí)現(xiàn)流量可視化，解決菊鏈與安全設(shè)備對(duì)流量數(shù)據(jù)的加解密問(wèn)題。在多種安全設(shè)備并存的條件下，安全技術(shù)或安全產(chǎn)品的接入并不受設(shè)備限制，因?yàn)镕5安全業(yè)務(wù)優(yōu)化平臺(tái)所進(jìn)行的安全防護(hù)與安全設(shè)備無(wú)關(guān)。
 

在F5的應(yīng)用安全解決方案當(dāng)中，流量精分是實(shí)現(xiàn)安全優(yōu)化調(diào)度的關(guān)鍵所在，精分策略將被植入到整個(gè)業(yè)務(wù)鏈，形成安全業(yè)務(wù)鏈。安全業(yè)務(wù)優(yōu)化平臺(tái)將通過(guò)上下文分類引擎對(duì)實(shí)際流量進(jìn)行分類，基于精分策略對(duì)業(yè)務(wù)流量加、解密后再進(jìn)行流量調(diào)度，以此確認(rèn)是否需要對(duì)所調(diào)度流量進(jìn)行Bypass、阻斷、檢測(cè)等操作。同時(shí)，要確保安全業(yè)務(wù)鏈的高級(jí)業(yè)務(wù)監(jiān)控和可擴(kuò)展。當(dāng)業(yè)務(wù)鏈出現(xiàn)流量性能不足時(shí)候，應(yīng)當(dāng)及時(shí)監(jiān)控安全設(shè)備、安全平臺(tái)以及安全產(chǎn)品本身的可用性和可信度。
 

相比其他產(chǎn)品，F(xiàn)5安全業(yè)務(wù)優(yōu)化平臺(tái)具備四大優(yōu)勢(shì)。
 

首先，解決了以往安全設(shè)備加密造成的盲區(qū)，實(shí)現(xiàn)了可視化。
 

其次，以安全設(shè)備與網(wǎng)絡(luò)的松耦合替代了過(guò)去的緊耦合，解決設(shè)備之間互相調(diào)度的問(wèn)題，使整個(gè)安全架構(gòu)更靈活和敏捷。
 

再次，對(duì)于由OA網(wǎng)絡(luò)產(chǎn)生的出向訪問(wèn)流量，同樣部署相應(yīng)的安全設(shè)備，盡管這些安全設(shè)備沒(méi)有很好的發(fā)揮對(duì)加密流量的防護(hù)作用，但F5的安全業(yè)務(wù)優(yōu)化平臺(tái)將優(yōu)化其防護(hù)性能。
 

末尾，在整個(gè)網(wǎng)絡(luò)與數(shù)據(jù)中心或云端通訊過(guò)程中，將由AWAF產(chǎn)品對(duì)內(nèi)容和應(yīng)用層進(jìn)行過(guò)濾。
 

毫無(wú)疑問(wèn)，數(shù)據(jù)加密并不代表數(shù)據(jù)的安全性。在F5看來(lái)，數(shù)據(jù)加密代表數(shù)據(jù)的私密性，而私密性在保護(hù)數(shù)據(jù)的同時(shí)，也為安全防護(hù)帶來(lái)極大的挑戰(zhàn)。作為全球領(lǐng)先的應(yīng)用交付廠商和應(yīng)用安全廠商，以及全球web應(yīng)用服務(wù)器廠商和K8s Ingress Service的廠商，F(xiàn)5希望能與所有的安全廠商一起，幫助客戶優(yōu)化企業(yè)應(yīng)用安全架構(gòu)，提升企業(yè)原有安全架構(gòu)性能，減少因應(yīng)用威脅帶來(lái)的經(jīng)濟(jì)和聲譽(yù)損失，切實(shí)保護(hù)企業(yè)應(yīng)用和數(shù)據(jù)安全。