當(dāng)企業(yè)通過(guò)云計(jì)算��、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等新型IT應(yīng)用實(shí)現(xiàn)商業(yè)模式創(chuàng)新時(shí)�,企業(yè)的核心資產(chǎn)——數(shù)據(jù)也隨之爆發(fā)。用戶(hù)必須不斷擴(kuò)展系統(tǒng)處理能力�,提升網(wǎng)絡(luò)帶寬,提高應(yīng)用交付速度���,以滿(mǎn)足大量數(shù)據(jù)的處理需求�����,并憑借領(lǐng)先一步的數(shù)據(jù)處理能力來(lái)提高市場(chǎng)反應(yīng)速度���,保證業(yè)務(wù)流程的流暢性與靈活性。
IT系統(tǒng)深入部署帶來(lái)安全��、快速兩難抉擇
在企業(yè)部署IT系統(tǒng)的過(guò)程中����,通常會(huì)認(rèn)為安全檢測(cè)和交付速度是一對(duì)“矛盾體”:安全檢測(cè)越深,系統(tǒng)消耗的性能越耗越大�����,所以速度也就越慢�,這導(dǎo)致企業(yè)用戶(hù)不得不反復(fù)權(quán)衡IT資源投入的側(cè)重點(diǎn)�����。然而���,在太一星晨研發(fā)總監(jiān)馮曉杰看來(lái),這兩者并不一定是矛盾關(guān)系�����,如果應(yīng)用交付產(chǎn)品具備優(yōu)秀的架構(gòu)與處理機(jī)制�����,可實(shí)現(xiàn)真正安全快速的應(yīng)用交付�。
在另一方面��,隨著IT系統(tǒng)逐漸成為企業(yè)中的核心系統(tǒng)����,并從成本系統(tǒng)轉(zhuǎn)化為利潤(rùn)系統(tǒng),其安全性就成為企業(yè)用戶(hù)必須著重考慮的一個(gè)方面�����。病毒、木馬����、DDoS攻擊等安全威脅隨時(shí)都有可能通過(guò)應(yīng)用層侵入到企業(yè)的IT系統(tǒng)之中,造成機(jī)密資料外泄��、服務(wù)器宕機(jī)等重大損失�����。因此����,現(xiàn)在企業(yè)用戶(hù)普遍要求對(duì)應(yīng)用層進(jìn)行深入的安全檢測(cè),以保證IT系統(tǒng)的高可用性以及投資回報(bào)率��。
然而�,傳統(tǒng)的Web應(yīng)用安全產(chǎn)品都是以犧牲速度為代價(jià)的。為了實(shí)現(xiàn)安全檢測(cè)����,用戶(hù)部署防火墻、IPS��、WAF等產(chǎn)品檢測(cè)通過(guò)的流量���,并提取應(yīng)用層的特征做特征比對(duì)�����,而每增加一個(gè)安全設(shè)備���,用戶(hù)都不得不忍受因?yàn)榘踩珯z測(cè)帶來(lái)的數(shù)據(jù)延遲與丟包���。那么是否有一種統(tǒng)一的方案,既能保證業(yè)務(wù)安全又能不損失性能呢?
馮曉杰表示:“傳統(tǒng)的IT部署模式實(shí)際上將安全與加速兩種功能割裂開(kāi)來(lái)�,通常通過(guò)不同的IT設(shè)備來(lái)承載。因此����,當(dāng)這兩種需求同時(shí)存在時(shí),往往就會(huì)對(duì)企業(yè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施構(gòu)成巨大的壓力�,導(dǎo)致企業(yè)無(wú)法實(shí)現(xiàn)安全快速的交付。要改變安全與速度之間的矛盾���,就需要企業(yè)用戶(hù)轉(zhuǎn)換思路,將這兩種需求納入到統(tǒng)一的IT部署體系之中���。”
傳統(tǒng)的思維模式成為統(tǒng)一部署屏障
要實(shí)現(xiàn)統(tǒng)一部署����,一個(gè)很大的障礙是傳統(tǒng)的思維模式。在很多企業(yè)看來(lái)�����,要保證企業(yè)的安全性����,就需要安裝額外的防火墻、IPS����、WAF等安全防護(hù)設(shè)備,但這種部署并非理所當(dāng)然的�����,而是應(yīng)該視企業(yè)具體的安全環(huán)境而定����。如果企業(yè)面臨非常復(fù)雜的安全環(huán)境,抗擊安全威脅的壓力巨大����,部署專(zhuān)門(mén)的防火墻就顯得非常必要;但如果企業(yè)只需要對(duì)應(yīng)用層進(jìn)行安全檢測(cè)和訪問(wèn)控制��,就可以通過(guò)太一星晨應(yīng)用交付產(chǎn)品來(lái)應(yīng)對(duì)��,其除了具備基礎(chǔ)的網(wǎng)絡(luò)層訪問(wèn)控制外��,還具備標(biāo)準(zhǔn)的防攻擊����,應(yīng)用層訪問(wèn)控制等功能����,確保Web服務(wù)器的安全。
當(dāng)安全保障與加速功能實(shí)現(xiàn)統(tǒng)一部署之后�,要化解兩者之間的矛盾就變得簡(jiǎn)單。馮曉杰表示:“架構(gòu)設(shè)計(jì)思路是將應(yīng)用的加速�、負(fù)載、安全作為單一的操作�����,在最短的時(shí)間內(nèi)完成安全的檢測(cè)���。通過(guò)優(yōu)秀的架構(gòu)設(shè)計(jì)確保數(shù)據(jù)流只做一次單一處理���,而無(wú)需額外串聯(lián)操作,從而有效的減緩數(shù)據(jù)在處理過(guò)程中的延遲���。而且����,通過(guò)開(kāi)啟應(yīng)用交付產(chǎn)品的SSL卸載��、HTTP緩存和壓縮功能���,也能夠減輕服務(wù)器壓力��,有效加快響應(yīng)��。”
此外���,太一星晨還建議企業(yè)用戶(hù)應(yīng)該盡量減少I(mǎi)T設(shè)備的部署數(shù)量以及種類(lèi),因?yàn)槊吭黾右粋(gè)設(shè)備����,用戶(hù)都不得不忍受因?yàn)榘踩珯z測(cè)帶來(lái)的數(shù)據(jù)延遲與丟包,給基礎(chǔ)設(shè)施帶來(lái)更大的壓力��。更好的辦法是采用一套符合企業(yè)需求而且保證靈活擴(kuò)展的整合解決方案,以消除冗余功能可能為速度帶來(lái)的影響����。
雖然單一部署方案會(huì)涉及到對(duì)于企業(yè)IT架構(gòu)的修改,但是考慮到安全與速度對(duì)企業(yè)業(yè)務(wù)運(yùn)行的重要影響����,這種投資還是值得的。從實(shí)際應(yīng)用效果來(lái)看�,這種方案可在單個(gè)設(shè)備上提供最佳的性能和完善的特性,最大限度地保護(hù)用戶(hù)投資�����,為用戶(hù)關(guān)鍵業(yè)務(wù)實(shí)現(xiàn)快速��、穩(wěn)定�����、可靠的安全體驗(yàn)�����。
