最近一兩年����,企業(yè)用戶在選擇應用交付產(chǎn)品時,除關注性能之外����,對交付的安全性給予了更多關注,應用交付主流廠商也更多地將目光聚焦在安全技術(shù)上:F5在2011年推出了主打安全功能的BIG-IPv10.1版本��,2012年推出安全移動設備解決方案;思杰2012年發(fā)布WEB應用云安全產(chǎn)品���。
與此同時�����,安全廠商也嗅到了商機��,從安全角度切入應用交付領域����,啟明星辰就在最近推出了自己的應用交付產(chǎn)品,并在客戶中開始試用�。
2012年,中國負載均衡/應用交付市場規(guī)模約15億人民幣�����,但90%的份額都被國外廠商占據(jù)���,其中F5獨占45%-50%的市場份額�。應用交付與安全技術(shù)的融合�,讓一些安全廠商躍躍欲試,意欲打破該領域國外廠商一家獨大的堅冰���。
應用交付與安全技術(shù)融合之路
應用層安全問題正變得日益突出,應用交付產(chǎn)品設計人員注意到����,非常有必要通過應用交付產(chǎn)品構(gòu)建第一道安全防線。如今����,網(wǎng)絡攻擊已經(jīng)由傳統(tǒng)的3、4層向4����、7層擴展�,雖然基于IP�����、協(xié)議���、端口的4層訪問控制已經(jīng)是防火墻產(chǎn)品的標配��,但對于應用交付來說���,僅僅支持4層的訪問控制還遠遠不夠。應用交付產(chǎn)品需要通過對應用層的協(xié)議解析�,支持對應用層數(shù)據(jù)的訪問控制,從而使服務器得到更高的安全性��。
在用戶需求指引下��,著眼于保障業(yè)務連續(xù)性的應用交付技術(shù)��,開始從解決高可用性逐漸發(fā)展到解決應用優(yōu)化����、安全問題。
應用交付產(chǎn)品的技術(shù)基礎和部署方式為其實現(xiàn)安全功能打下了技術(shù)基礎。應用交付產(chǎn)品在做4層負載均衡時����,協(xié)議、IP�����、接口等信息是其分擔技術(shù)基礎�,而 7層負載技術(shù)也要求應用交付產(chǎn)品能夠完成對應用層協(xié)議(如:HTTP、SMTP等協(xié)議)的解析�����。另外����,盡管應用交付技術(shù)在不斷更新�����,但應用交付的部署位置卻從未改變�����。服務器負載(應用加速、卸載)通常部署在服務器區(qū)前端�����,鏈路負載通常部署在多鏈路出口�����,而這些位置本身也正是傳統(tǒng)安全產(chǎn)品防火墻�、IPS、 WAF的部署位置�����。
應用交付產(chǎn)品可以融入哪些安全功能?首先�����,它可以成為DDoS攻擊的第一道防線�����,通過在應用交付產(chǎn)品上合理配置就可以很好地應對DDoS攻擊�,應用交付產(chǎn)品工作在TCP代理模式下,可通過代理���、cookie等技術(shù)有效識別攻擊者身份;其次�,應用交付產(chǎn)品在做智能DNS及全局負載均衡部署中,可輕松擴展DNS服務器的響應能力���,通過對DNS報文的合規(guī)檢查����,以及DNS報文的速率控制�,防止DNSflood攻擊;第三,可進行SSL加密內(nèi)容檢測��,傳統(tǒng)的防火墻�����、入侵檢測和IPS等設備的特征碼技術(shù)在銀行的SSL加密流量下并無用處�,應用交付產(chǎn)品提供的SSL卸載功能,能減輕后臺服務器的負擔��,并可對卸載后的數(shù)據(jù)進行安全檢測��,阻斷攻擊報文;最后����,防護WEB安全,WEB安全的核心是對HTTP報文的解析和處理�����,應用交付產(chǎn)品部署在服務器前端時�,在優(yōu)化、加速業(yè)務的同時���,也能并行處理各種安全事務���,如:HTTP協(xié)議合規(guī)性檢查,防信息泄露��,對各種SQL/XSS進行阻斷��。
應用交付:安全廠商新領地
在傳統(tǒng)意義上�����,應用交付是屬于數(shù)通廠商的游戲����。安全廠商切入這一領地,憑借什么立足?啟明星辰產(chǎn)品管理中心總工沈穎認為����,近幾年�����,負載均衡技術(shù)其實并沒有太多更新���,用戶關注的重點已經(jīng)轉(zhuǎn)向7層應用,但應用層并不是數(shù)通廠商的強項����,而安全廠商在做應用安全時,已經(jīng)奠定下應用識別和處理的基礎��,應用交付由此成為安全廠商有待開拓的新領地��,預計未來會有更多安全廠商進入應用交付領域��。
從用戶角度看����,用戶正變得越來越理性,對需求的把握能力越來越強�,更多客戶選擇產(chǎn)品或方案是受需求驅(qū)動,他們希望獲得滿足企業(yè)需求的整體解決方案�����,而不是簡單地選擇某個產(chǎn)品����。而在今天,用戶對于應用產(chǎn)品安全性提出了更高要求�。2011年APT出現(xiàn)后,在安全界����,攻、守方都發(fā)生了很大改變�,進攻方把攻擊過程和攻擊技術(shù)幾乎都轉(zhuǎn)到應用層,防守方也把應用交付視為保證業(yè)務可用性的關鍵����,而可用性本身就是安全的首要因素,安全應是今天的應用交付產(chǎn)品題中應有之意����。
對于安全廠商而言,涉足應用交付領域�����,是否會與之前所開發(fā)的產(chǎn)品重復?在應用交付產(chǎn)品中加入安全功能,對原有單一的安全產(chǎn)品是否會造成沖擊?對此����,啟明星辰產(chǎn)品經(jīng)理譚闖表示,不同用戶面對的安全威脅不同�����,對安全防護的需求也不同�,提供不同的產(chǎn)品可以讓用戶有更多的選擇,正如UTM(統(tǒng)一威脅管理)出現(xiàn)后����,IPS也依然有自己的市場需求一樣。
啟明星辰不久前剛剛與網(wǎng)御星云聯(lián)合發(fā)布了下一代安全網(wǎng)關(NGFW+NGUTM)��,如何看待NGFW和應用交付的功能重合?譚闖表示��,NGFW和應用交付確實存在功能重合�����,但二者側(cè)重點不同�����,兩者應用場景也有較大不同:應用交付產(chǎn)品更傾向于在應用交付的流程之上增加安全性;而安全產(chǎn)品重點是先考慮安全,在安全的基礎上為用戶提供一定的應用交付功能����。未來�����,照現(xiàn)在的趨勢發(fā)展��,兩種產(chǎn)品很可能會完全重合��。但目前兩者區(qū)別還是比較大���。
打破國外廠商一統(tǒng)天下的堅冰
目前�����,中國負載均衡/應用交付市場份額90%都被國外廠商占據(jù)����,尤其是F5一家獨大���,約占一半份額���。這種布局與十年前的安全市場非常像����,隨著安全廠商在應用交付領域機遇的到來���,越來越多安全廠商希望盡快打破這種堅冰����。
實際上�����,啟明星辰早在2009年就開始對應用交付市場進行預演����,2010年開始進行產(chǎn)品調(diào)研和硬件選型,近期正式推出了應用交付產(chǎn)品����,產(chǎn)品形態(tài)主要包括:多鏈路負載均衡、全局流量負載均衡��、服務器流量負載均衡和廣域網(wǎng)加速等。啟明星辰從2012年開始�����,已經(jīng)擁有全線萬兆產(chǎn)品線���,在此基礎上����,其應用交付產(chǎn)品具備了高可靠性�、高性能和安全性��,其中安全是最核心的要素之一����。
流量負載均衡技術(shù)經(jīng)過多年的發(fā)展,已經(jīng)比較成熟���,各廠家并沒有太大的差距�����,而應用交付產(chǎn)品是業(yè)務強相關產(chǎn)品�����,一定要深入了解用戶的用戶系統(tǒng)��,這與傳統(tǒng)的應用安全產(chǎn)品有一定的共通性����。目前,在應用安全����、應用系統(tǒng)優(yōu)化、應用加速等真正能夠提升用戶業(yè)務系統(tǒng)能力方面����,各廠商之間差距較大。啟明星辰作為安全廠商得以率先進入應用交付領域��,得益于它在安全防護領域的深厚積累�。在應用交付的各個環(huán)節(jié)中,啟明星辰最具優(yōu)勢的是安全防護能力��,尤其是威脅檢測能力一直處于業(yè)界領先地位����。
對安全廠商而言���,進入技術(shù)門檻較高的應用交付領域還將面臨很多挑戰(zhàn)。啟明星辰的中期目標是:3-5年內(nèi)����,在中國應用交付市場占有率達到 15%-20%,打破目前國外廠商一統(tǒng)天下的格局�,為國產(chǎn)應用交付類產(chǎn)品贏得一席之地。啟明星辰還希望����,其應用交付產(chǎn)品在國家機密機構(gòu)有所作為。
作為本土廠商���,啟明星辰對未來與國際廠商同臺競爭很有信心。沈穎表示�����,啟明星辰在響應速度�、服務能力方面是國外廠商所無法比擬的。應用交付是業(yè)務強相關類產(chǎn)品�����,廠商一定要對用戶應用系統(tǒng)有深入的了解才行,而用戶的應用系統(tǒng)常變常新��,需要應用交付廠商具備快速響應能力和對用戶更貼心的服務能力����,啟明星辰在服務于本土客戶時具備這方面的優(yōu)勢。
