隨著應用的爆炸式增長,以及IoT、人工智能市場的不斷成熟,都給安全帶來了新的挑戰。近期,F5中國區總經理張毅強攜F5中國區首席技術官吳靜濤、政企客戶部技術經理周辛酉在一次安全策略溝通會上,對F5如何看待新環境下的安全問題進行了闡述。張毅強首先講到,“從2018年開始,F5把戰略目標定位在安全、多云及智能三大方向上,將打造大數據引擎,探索AIOps的新實踐。而2019年F5在安全方面將加大投入力度,并持續發力。”
F5中國區總經理 張毅強
那么,為何F5如此看重安全問題,甚至把其提升到首要戰略上來呢?從F5在中國的市場表現來看,其始終保持著穩健增長,市場占有率穩居第一。而從全球業績來看,F5營收在22億美金,全球ADC市場份額保持在47.3%,包括入圍美國《財富》 2018全球最受尊敬的公司名列,其中前50名公司有49家使用了F5設備,以及獲得由Forrester 評定的WAF產品全球領導者地位等。由此可見,F5已經在ADC及WAF領域占據了絕對的優勢地位。張毅強非常自豪的講到,“在應用交付控制器(ADC)方面,F5是唯一一家具備五大公有云認證的廠商,而從全球整體市場發展來看,應用交付與安全之間的關系將變的越來越不可分割。”
對此,張毅強還特別回顧了2018年發生的幾起典型的安全事件,其中包括2018年末針對全球金融機構發起的大規模DDoS攻擊等,張毅強表示,“在這些安全事件中,F5可謂是臨危受命,在不到一周的時間內專門組織了針對DDoS防御的技術講座,并得到了140多個客戶的參與和高度評價,最終幫助客戶成功化解了攻擊威脅。而從攻擊趨勢來看,以往很多不被關注的行業及領域,目前正在遭受網絡攻擊的嚴重威脅,整體安全形勢正在發生改變,這也是F5將重心放在安全上的主要因素之一。”
此外,張毅強還分享了F5針對IPv6環境下所做的一系列安全準備。張毅強非常感慨的講到,“過去很多人認為F5就是做應用交付、負載均衡,F5也一直對安全問題比較低調,但今天我認為F5必須站出來講我們就是一家安全企業,可以說F5骨子里、血液里的DNA就是安全。事實上F5的負載均衡、應用交付產品在客戶端已經被配置成了防火墻來應用,因為傳統防火墻在很多情況下根本無法實現對應用流量的精準區分。所以,F5現在必須站在用戶角度去解決這些安全性問題。”
而在多云方面,張毅強表示,“毋庸置疑,F5會利用過去五年多時間中在多活數據中心方面所打下的深厚基礎,在多云、多活方面進行更深入的行業和全市場范圍的推廣。而在制衡AIOps方面,F5中國區可謂是一個特殊的發力點,也在市場上形成了新的標準。”
此外,張毅強還特別強調了F5在中國的“生態圈”拓展計劃,將與華三、博云等國內廠商建立戰略聯盟,并與華為在云戰略方面進行深化合作,同時F5還與神州數碼建立了緊密的合作關系,從而有效推進F5的本地化策略。
南北分層與東西灰度精分的安全策略
F5中國區首席技術官 吳靜濤
F5中國區首席技術官吳靜濤在現場提出了基于南北分層防護、東西灰度流量精分的F5全新安全策略,其實這一策略早應用到了F5的產品當中,而用戶也已經享受到這種策略所帶來的安全優勢。對此,吳靜濤表示,“在新的安全環境中,攻防轉換已呈現分鐘級變化。以往在識別攻擊與正常用戶訪問時的特征差異比較明顯,因此只需將不正常的訪問‘殺掉’,讓正常訪問流量通過就實現了對攻擊流量的有效過濾。而如今,大量訪問來自應用,如果仍照此實施,就會造成正常訪問被大量誤殺的情況,這也是目前很多用戶在運營業務當中最關心的問題。”
因此,吳靜濤特別強調,“隨著移動設備與應用的大批量接入,網絡中的灰度越來越復雜,以往統一的安全防護策略將逐漸失效。而基于南北分層的防護方式,用戶可以通過運營商或公有云中提供的DDoS清洗服務,在互聯網接口和應用等不同層級上進行防護。與此同時,很多用戶應用架構開始轉向API調用的結構,應用之間相互關聯,以及應用之間相互調用形成了東西流量。因此,基于東西灰度精分就成為了對一些關鍵業務和應用以精分方式進行精細化安全防護的重要手段。”
另外,吳靜濤還分享了F5所構建的靈敏、彈性應用防護架構,能夠根據攻擊方式的不同需求,分別對用戶類型、發布渠道、應用版本、應用類型進行灰度流量精分,體現出了明顯的技術優勢。此外,從安全架構的實現層面,吳靜濤表示,“F5希望未來通過產品+服務的方式,做應用態勢感知,將大數據采集、機器學習、智能基線、根因分析、一鍵配置變更等動作相結合,以此實現分鐘級的攻防轉換,并利用精細化的安全策略優化場景。”
DevOps架構下的多云多活應用服務
F5政企部客戶技術經理 周辛酉
F5政企部客戶技術經理周辛酉在現場以DDoS攻擊防護模型為例,分享了F5 在DevOps架構下的多云多活應用服務的技術細節。周辛酉表示,“在多云多活架構下,安全存在于從基礎架構到數據與應用的任何位置。在IPv6的環境中,無論是DDoS攻擊的量級,還是防護的復雜程度都將與以往產生巨大差別。而F5的優勢在于,其設備的位置在應用之前,能夠通過流量可視化以及安全的服務鏈拆分,為應用提供有效的安全性服務。”
此外,周辛酉還表示,“為了應對應用的千變萬化,可編程控制目前對用戶而言十分重要,F5提供了基于全代理架構的可編程控制模式。在F5 TMOS系統中提供了一項缺省功能iRules,能夠為用戶提供面對多種攻擊防護的可編程方式。作為一款全代理架構,其降低了用戶操作的復雜程度,大大提高了安全防護策略的部署效率,從而有效減少了操作的復雜度與安全風險。”
