對此，作為全球應用交付領域的大咖，F(xiàn)5在剛剛舉辦的北京網(wǎng)絡安全大會(BCS 2019)，全方位、系統(tǒng)性的向中國市場展示F5的應用安全理念、技術與解決方案。F5中國安全解決方案經(jīng)理陳玉奇指出，網(wǎng)絡安全已經(jīng)告別了個人英雄時代，復雜的流量本質對應用安全策略提出了更高更新的要求。“通過多年的實踐積累，F(xiàn)5提出了基于加密流量精分策略以及相應的安全業(yè)務性能優(yōu)化方案，不僅幫助企業(yè)用戶實現(xiàn)流量可視化和流量加解密，同時能夠對各類安全技術進行編排調度，進而全方位保障應用安全。”
 

英雄束手，復雜的流量本質帶來重重“黑幕”
 

“安全已經(jīng)脫離了個人英雄主義的年代”，在陳玉奇看來，網(wǎng)絡安全已經(jīng)進入了一個新時代。

隨著互聯(lián)網(wǎng)技術發(fā)展，流量和業(yè)務的量級進入了更高的狀態(tài)，企業(yè)為保障數(shù)據(jù)安全同步增加投入成本，而實際營收卻可能呈下降趨勢。原因在于真正運行在業(yè)務系統(tǒng)中的數(shù)據(jù)流量更多是被競爭對手、爬蟲業(yè)務、黃牛、掃描器以及更多的未知機器訪問所占用。這些訪問造成了投入成本的不可控制，同時也增加了流量識別難度。與此同時，原本出于安全性考慮對數(shù)據(jù)進行加密，也增強了數(shù)據(jù)隱私性，成為流量性質鑒別和精分的又一難點，進而為數(shù)據(jù)安全保護帶來了更大的挑戰(zhàn)。

流量精分的難點不僅僅來源于數(shù)據(jù)流量本身，還受到應用層數(shù)據(jù)加密這一防護措施的影響。為了保護傳輸過程中的數(shù)據(jù)信息安全，同時防止已丟失的登錄憑證造成損害，企業(yè)安全團隊對整個應用層進行加密處理，建立完整的撞庫/暴力破解防御體系。然而這種看似穩(wěn)妥的解決方案在保護了數(shù)據(jù)隱私的同時也成為黑客的保護傘。
 

對此，F(xiàn)5提出，只有通過流量精分，從特征到行為對流量進行多維度分析處理，阻斷BOT的請求，才能真正避免惡意機器人造成的損失。
 

　　萬物加密時代，在“黑暗”中探索安全
 

據(jù)介紹，當前世界上有70%的互聯(lián)網(wǎng)流量被加密，80%的頁面訪問需要經(jīng)過SSL到TLS加密，不透明的安全部署造成盲區(qū)，讓加密的安全威脅透過所有的安全設備并且不會被發(fā)現(xiàn)。
 

以SSL下的APT模型為例，過程中會涉及到探測、武器準備、投送、利用、安裝、控制、行動這一系列行為，這些行為有可能是BOT利用登錄憑證產生，也可能是因業(yè)務之間API調用產生，但在此探測、投送、利用、控制、行動的工程中，所有數(shù)據(jù)都可能會被加密，這就可能導致安全團隊精心布局的安全體系中出現(xiàn)一個漏洞。另外，絕大多數(shù)的魚叉釣魚、仿冒網(wǎng)站都因使用數(shù)據(jù)加密傳輸而無法得到完善的檢測防護，因此無論企業(yè)的安全更加注重對外來訪問的防御還是由內部對外的訪問，部署在邊界的安全設備在萬物加密的時代依然存在巨大的盲點。
 

為了解決盲點問題，很多企業(yè)選擇對安全設備建立菊鏈式連接，實現(xiàn)所有的安全設備都具備對流量的加解密能力。但菊鏈式連接在邏輯上的合理性并不能彌補實際應用中因多重加解密造成的效率低下，同時其復雜的部署策略也導致排障困難，故障點并發(fā)特征使性能和可用性較低。更重要的是，菊鏈作為固化網(wǎng)絡，無法根據(jù)業(yè)務需求進行靈活擴展。
 

在數(shù)據(jù)加密和菊鏈的雙重作用下，形成了當前所有安全設備與網(wǎng)絡設備呈現(xiàn)緊耦合狀態(tài)的企業(yè)安全模型。但因緊耦合固有的低效率、低性能、難排障的弊端，導致安全策略不能輕易調整，進而使安全模型對本地數(shù)據(jù)中心和云端越來越多的出向流量、辦公網(wǎng)絡的外部訪問，以及OA網(wǎng)絡與生產系統(tǒng)之間API調用這些場景，無法實現(xiàn)具有針對性的安全防護，一場基于對應用安全現(xiàn)實需求的變革正亟待發(fā)生。
 

撥云見日，F(xiàn)5安全業(yè)務優(yōu)化平臺凸顯四大優(yōu)勢
 

通過多年來的實戰(zhàn)，F(xiàn)5已經(jīng)形成了一套日趨成熟的安全解決方案。面對復雜網(wǎng)絡環(huán)境下客戶希望其應用業(yè)務更快速、更智能、更安全的需求與當下安全模型緊耦合狀態(tài)之間的矛盾，F(xiàn)5提出針對雙向SSL/TLS加密流量的安全業(yè)務優(yōu)化調度，實現(xiàn)流量可視化，解決菊鏈與安全設備對流量數(shù)據(jù)的加解密問題。在多種安全設備并存的條件下，安全技術或安全產品的接入并不受設備限制，因為F5安全業(yè)務優(yōu)化平臺所進行的安全防護與安全設備無關。
 

在F5的應用安全解決方案當中，流量精分是實現(xiàn)安全優(yōu)化調度的關鍵所在，精分策略將被植入到整個業(yè)務鏈，形成安全業(yè)務鏈。安全業(yè)務優(yōu)化平臺將通過上下文分類引擎對實際流量進行分類，基于精分策略對業(yè)務流量加、解密后再進行流量調度，以此確認是否需要對所調度流量進行Bypass、阻斷、檢測等操作。同時，要確保安全業(yè)務鏈的高級業(yè)務監(jiān)控和可擴展。當業(yè)務鏈出現(xiàn)流量性能不足時候，應當及時監(jiān)控安全設備、安全平臺以及安全產品本身的可用性和可信度。
 

相比其他產品，F(xiàn)5安全業(yè)務優(yōu)化平臺具備四大優(yōu)勢。
 

首先，解決了以往安全設備加密造成的盲區(qū)，實現(xiàn)了可視化。
 

其次，以安全設備與網(wǎng)絡的松耦合替代了過去的緊耦合，解決設備之間互相調度的問題，使整個安全架構更靈活和敏捷。
 

再次，對于由OA網(wǎng)絡產生的出向訪問流量，同樣部署相應的安全設備，盡管這些安全設備沒有很好的發(fā)揮對加密流量的防護作用，但F5的安全業(yè)務優(yōu)化平臺將優(yōu)化其防護性能。
 

末尾，在整個網(wǎng)絡與數(shù)據(jù)中心或云端通訊過程中，將由AWAF產品對內容和應用層進行過濾。
 

毫無疑問，數(shù)據(jù)加密并不代表數(shù)據(jù)的安全性。在F5看來，數(shù)據(jù)加密代表數(shù)據(jù)的私密性，而私密性在保護數(shù)據(jù)的同時，也為安全防護帶來極大的挑戰(zhàn)。作為全球領先的應用交付廠商和應用安全廠商，以及全球web應用服務器廠商和K8s Ingress Service的廠商，F(xiàn)5希望能與所有的安全廠商一起，幫助客戶優(yōu)化企業(yè)應用安全架構，提升企業(yè)原有安全架構性能，減少因應用威脅帶來的經(jīng)濟和聲譽損失，切實保護企業(yè)應用和數(shù)據(jù)安全。