随着应用的爆炸式增长,以及IoT、人工智能市场的不断成熟,都给安全带来了新的挑战。近期,F5中国区总经理张毅强携F5中国区首席技术官吴静涛、政企客户部技术经理周辛酉在一次安全策略沟通会上,对F5如何看待新环境下的安全问题进行了阐述。张毅强首先讲到,“从2018年开始,F5把战略目标定位在安全、多云及智能三大方向上,将打造大数据引擎,探索AIOps的新实践。而2019年F5在安全方面将加大投入力度,并持续发力。”
F5中国区总经理 张毅强
那么,为何F5如此看重安全问题,甚至把其提升到首要战略上来呢?从F5在中国的市场表现来看,其始终保持着稳健增长,市场占有率稳居第一。而从全球业绩来看,F5营收在22亿美金,全球ADC市场份额保持在47.3%,包括入围美国《财富》 2018全球最受尊敬的公司名列,其中前50名公司有49家使用了F5设备,以及获得由Forrester 评定的WAF产品全球领导者地位等。由此可见,F5已经在ADC及WAF领域占据了绝对的优势地位。张毅强非常自豪的讲到,“在应用交付控制器(ADC)方面,F5是唯一一家具备五大公有云认证的厂商,而从全球整体市场发展来看,应用交付与安全之间的关系将变的越来越不可分割。”
对此,张毅强还特别回顾了2018年发生的几起典型的安全事件,其中包括2018年末针对全球金融机构发起的大规模DDoS攻击等,张毅强表示,“在这些安全事件中,F5可谓是临危受命,在不到一周的时间内专门组织了针对DDoS防御的技术讲座,并得到了140多个客户的参与和高度评价,最终帮助客户成功化解了攻击威胁。而从攻击趋势来看,以往很多不被关注的行业及领域,目前正在遭受网络攻击的严重威胁,整体安全形势正在发生改变,这也是F5将重心放在安全上的主要因素之一。”
此外,张毅强还分享了F5针对IPv6环境下所做的一系列安全准备。张毅强非常感慨的讲到,“过去很多人认为F5就是做应用交付、负载均衡,F5也一直对安全问题比较低调,但今天我认为F5必须站出来讲我们就是一家安全企业,可以说F5骨子里、血液里的DNA就是安全。事实上F5的负载均衡、应用交付产品在客户端已经被配置成了防火墙来应用,因为传统防火墙在很多情况下根本无法实现对应用流量的精准区分。所以,F5现在必须站在用户角度去解决这些安全性问题。”
而在多云方面,张毅强表示,“毋庸置疑,F5会利用过去五年多时间中在多活数据中心方面所打下的深厚基础,在多云、多活方面进行更深入的行业和全市场范围的推广。而在制衡AIOps方面,F5中国区可谓是一个特殊的发力点,也在市场上形成了新的标准。”
此外,张毅强还特别强调了F5在中国的“生态圈”拓展计划,将与华三、博云等国内厂商建立战略联盟,并与华为在云战略方面进行深化合作,同时F5还与神州数码建立了紧密的合作关系,从而有效推进F5的本地化策略。
南北分层与东西灰度精分的安全策略
F5中国区首席技术官 吴静涛
F5中国区首席技术官吴静涛在现场提出了基于南北分层防护、东西灰度流量精分的F5全新安全策略,其实这一策略早应用到了F5的产品当中,而用户也已经享受到这种策略所带来的安全优势。对此,吴静涛表示,“在新的安全环境中,攻防转换已呈现分钟级变化。以往在识别攻击与正常用户访问时的特征差异比较明显,因此只需将不正常的访问‘杀掉’,让正常访问流量通过就实现了对攻击流量的有效过滤。而如今,大量访问来自应用,如果仍照此实施,就会造成正常访问被大量误杀的情况,这也是目前很多用户在运营业务当中最关心的问题。”
因此,吴静涛特别强调,“随着移动设备与应用的大批量接入,网络中的灰度越来越复杂,以往统一的安全防护策略将逐渐失效。而基于南北分层的防护方式,用户可以通过运营商或公有云中提供的DDoS清洗服务,在互联网接口和应用等不同层级上进行防护。与此同时,很多用户应用架构开始转向API调用的结构,应用之间相互关联,以及应用之间相互调用形成了东西流量。因此,基于东西灰度精分就成为了对一些关键业务和应用以精分方式进行精细化安全防护的重要手段。”
另外,吴静涛还分享了F5所构建的灵敏、弹性应用防护架构,能够根据攻击方式的不同需求,分别对用户类型、发布渠道、应用版本、应用类型进行灰度流量精分,体现出了明显的技术优势。此外,从安全架构的实现层面,吴静涛表示,“F5希望未来通过产品+服务的方式,做应用态势感知,将大数据采集、机器学习、智能基线、根因分析、一键配置变更等动作相结合,以此实现分钟级的攻防转换,并利用精细化的安全策略优化场景。”
DevOps架构下的多云多活应用服务
F5政企部客户技术经理 周辛酉
F5政企部客户技术经理周辛酉在现场以DDoS攻击防护模型为例,分享了F5 在DevOps架构下的多云多活应用服务的技术细节。周辛酉表示,“在多云多活架构下,安全存在于从基础架构到数据与应用的任何位置。在IPv6的环境中,无论是DDoS攻击的量级,还是防护的复杂程度都将与以往产生巨大差别。而F5的优势在于,其设备的位置在应用之前,能够通过流量可视化以及安全的服务链拆分,为应用提供有效的安全性服务。”
此外,周辛酉还表示,“为了应对应用的千变万化,可编程控制目前对用户而言十分重要,F5提供了基于全代理架构的可编程控制模式。在F5 TMOS系统中提供了一项缺省功能iRules,能够为用户提供面对多种攻击防护的可编程方式。作为一款全代理架构,其降低了用户操作的复杂程度,大大提高了安全防护策略的部署效率,从而有效减少了操作的复杂度与安全风险。”
