F5全球執(zhí)行副總裁兼首席技術(shù)官��、首席華裔科學(xué)家林耕總在近期專訪中給出了一個值得大家深思的例子�。
美國數(shù)字銀行——Capital One����,不設(shè)分行���,以數(shù)字化服務(wù)為基礎(chǔ)�����,但仍提供包括零售服務(wù)和信用卡服務(wù)���,更像是作為一家科技公司服務(wù)于數(shù)據(jù)、分析人才���。不再設(shè)立本地數(shù)據(jù)中心而是完全擁抱公有云�����,在這個過程中����,兩邊安全策略無法統(tǒng)一���,只能各自執(zhí)行�。
一年半前發(fā)生了一次很大的安全泄露事件�����,才開始注重加強數(shù)字安全。因此��,數(shù)字化擁抱應(yīng)用�����,同時應(yīng)用安全����、數(shù)字安全也要平衡,這是一個非常復(fù)雜的過程��。
樓上是以一致性應(yīng)用安全需求為例���,當(dāng)然還有更多數(shù)字轉(zhuǎn)型趨勢下的挑戰(zhàn)�,F(xiàn)5一直跟隨用戶需求提供端到端產(chǎn)品組合����,從開始滿足簡單應(yīng)用需求,負載均衡����、擴容,到應(yīng)用交付����,ADC應(yīng)用交付控制器����,用戶安全訪問�,防止機器人攻擊和反欺詐����,再到現(xiàn)在多云數(shù)字化,一步步以市場為導(dǎo)向演變升級����。
來看看F5如何出招:
第一是在應(yīng)用運維方面,F(xiàn)5的發(fā)力點在遙測技術(shù)+數(shù)據(jù)湖+洞察技術(shù)��,遙測技術(shù)一直以來都是F5認證的未來發(fā)展目標(biāo)����,通過遠程實時采集端到端網(wǎng)絡(luò)數(shù)據(jù),實現(xiàn)網(wǎng)絡(luò)流量可視化���,以便應(yīng)對應(yīng)用安全與交付挑戰(zhàn)�����。
現(xiàn)在F5要構(gòu)建統(tǒng)一的數(shù)據(jù)湖管理平臺�����,采集遙測數(shù)據(jù)���,然后基于機器學(xué)習(xí)和人工智能技術(shù)進行分析和洞察�。林耕總表示實際上這就是一套技術(shù)層面的數(shù)據(jù)管道和分析構(gòu)架基本雛形����。
和采用F5此前收購的防詐欺公司Shape Security所特有的AI技術(shù)檢測訪問者行為模式一樣,準(zhǔn)確判斷需要后臺進行海量數(shù)據(jù)采集和分析��。未來F5會基于NGINX的獨特優(yōu)勢拓展整個產(chǎn)品線�����。因為全球有4億臺Web服務(wù)器采用F5的NGINX統(tǒng)一管理架構(gòu)��,意味著超過三分之一的網(wǎng)站���,包括后臺功能處理都是基于NGINX的應(yīng)用�����、Web服務(wù)器�����,再加上Big-IP支持��,F(xiàn)5針對網(wǎng)絡(luò)應(yīng)用的活動足跡覆蓋面超過40%��。
那么在統(tǒng)一數(shù)據(jù)湖里凝聚了網(wǎng)絡(luò)遙測數(shù)據(jù)以及洞察之力�����,再基于機器學(xué)習(xí)和人工智能技術(shù)在不同場景下完善企業(yè)應(yīng)用性能�����,利用近乎實時的SLO/SLI框架自動運行監(jiān)控和告警流程����,就能夠幫助用戶大大提高運維能力����。還能找出攻擊來源,甚至進行商機挖掘。
第二是把端到端數(shù)字安全防護做到最深���。F5在這方面的產(chǎn)品組合分成四層��,第一層是應(yīng)用保護��,越來越多端到端的數(shù)字服務(wù)需要若干個應(yīng)用連在一起��,應(yīng)用保護要提高到不僅保護單一應(yīng)用�����,還要保護API����,應(yīng)用之間的交互�����,甚至保護用戶對應(yīng)用的訪問��。第二層是M2M的數(shù)據(jù)服務(wù)防護����,也就是通過API防護。第三層是反用戶欺詐,保護用戶對應(yīng)用的訪問��,通過行為模式認識到TA有沒有可能是一個機器人�����。
第四層則是假設(shè)肯定會有攻擊進入用戶應(yīng)用或服務(wù)里����,我們要在最邊緣端就進行攻擊防護,利用AI技術(shù)觀察它的行為模式�����,進行威脅檢測和響應(yīng)�,而不是等攻擊到內(nèi)部���,即便沒有實質(zhì)性損害���,也會消耗很多帶寬。
2021年談邊緣應(yīng)用����,2022年轉(zhuǎn)向多云環(huán)境安全應(yīng)用交付?
第三部分要引出我提到的第三個問題,從邊緣應(yīng)用到云原生應(yīng)用���,F(xiàn)5的策略是否在改變��,林耕總的回答是并沒有���。今年F5確實更多專注在降低多云復(fù)雜性,確??缙髽I(yè)所有應(yīng)用擁有一致性的安全策略,這可以有效解決樓上Capital One的安全危機�,不過F5支持任何環(huán)境的應(yīng)用安全交付,云原生本地數(shù)據(jù)中心只是它的一個強項�����。
再回到邊緣應(yīng)用�,并沒有被F5忽視或抹除,在我看來邊緣應(yīng)用反而在被F5細化拆分�����。林耕總把邊緣環(huán)境分成了現(xiàn)在和未來兩大場景介紹���。
F5現(xiàn)在推出的分布式云架構(gòu)�,服務(wù)于應(yīng)用,就是對應(yīng)現(xiàn)在的場景����。本質(zhì)是一個運行在邊緣環(huán)境下的SaaS服務(wù)功能,SaaS的功能是進行WAF和API防護�,但它是一個SaaS可以部署到邊緣環(huán)境的任意地點,相當(dāng)于沒進入云中心就對網(wǎng)絡(luò)攻擊進行了一輪“原地消殺”��。不過這也更多是利用邊緣環(huán)境來實現(xiàn)應(yīng)用安全交付��,負載應(yīng)用還是原有中心化云的�,只是橫向擴展到了不同地域。
這里在多云環(huán)境下今年可能還會有一個平臺化新品出現(xiàn)���,能讓用戶通過可視化界面了解業(yè)務(wù)在防御什么攻擊��,如何響應(yīng)以及如何自動形成不同策略到網(wǎng)站上�,可以期待一下��。
邊緣環(huán)境的另一類未來場景�����,現(xiàn)在還未完全出現(xiàn)�����,實際代表的是邊緣計算支持的一些工作負載�。更多是現(xiàn)有中心化云不擅長支持的負載,即在邊緣端獨立處理的����、數(shù)據(jù)量大的業(yè)務(wù)應(yīng)用。這是我們希望邊緣計算所能推動支持的���,比如工業(yè)物聯(lián)網(wǎng)�����,比如自動駕駛類負載場景����,F(xiàn)5所提供的服務(wù)應(yīng)該也會隨需而變��。
總結(jié)
F5是針對不同數(shù)據(jù)路徑的應(yīng)用部署來安全解決方案�。結(jié)合當(dāng)前企業(yè)應(yīng)用基本有三個存放地點——數(shù)據(jù)中心,云和邊緣�,F(xiàn)5通過統(tǒng)一代碼,讓每個應(yīng)用安全或交付服務(wù)運行在任意服務(wù)器和云環(huán)境中����。
如果自主給今年的F5劃個重點——F5分布式云服務(wù)����,應(yīng)用端到端安全防護���,開源��,NGINX企閱版(NGINX OSSub)�。開源我沒有多提���,NGINX知道是能簡化開發(fā)者工作�����,允許用戶在多云環(huán)境中輕松管理多個NGINX服務(wù)器��,實現(xiàn)統(tǒng)一管理����。
新發(fā)布的NGINX企閱版(NGINX OSSub)官方表示能幫助企業(yè)用戶在擁抱開源技術(shù)的同時規(guī)避開源治理風(fēng)險����,還能滿足企業(yè)用戶在特定場景下的個性化需求,助力企業(yè)用戶安心高效地使用企業(yè)級的開源產(chǎn)品�。
F5中國區(qū)資深市場總監(jiān)王學(xué)軍表示,NGINX企閱版(NGINX OSSub)在全球范圍內(nèi)都沒有���,只在中國區(qū)運行���。F5對國內(nèi)具體環(huán)境強調(diào)本地化需求要比其它市場強,具體的頂層解決辦法是把關(guān)鍵技術(shù)通過開源方式��,甚至將一些定制版帶到中國��。NGINX企閱版(NGINX OSSub)就是一次證明��。
目前已經(jīng)有一些客戶開始應(yīng)用����,大家可以嘗試一下,然后給個反饋�����。
