F5安全事業(yè)部總經(jīng)理兼金融及企業(yè)事業(yè)部技術(shù)總監(jiān) 陳亮
我們要明確的一點(diǎn),F(xiàn)5是一家專注于多云應(yīng)用交付和應(yīng)用安全的公司,其能力包含應(yīng)用的安全防護(hù)�。2022財(cái)年,F(xiàn)5在全球的安全營收達(dá)到10億美元�,達(dá)到整體營收占比的37%。F5安全事業(yè)部總經(jīng)理兼金融及企業(yè)事業(yè)部技術(shù)總監(jiān)陳亮總將多年來F5安全產(chǎn)品與服務(wù)的不斷增加稱為“安全基因的擴(kuò)增”�����,現(xiàn)在的F5也是一家真正的安全公司��。
F5的安全基因從公司1996年成立便與生俱來����,初期是通過全代理模式處理客戶請(qǐng)求,保證用戶請(qǐng)求的安全�,不過重點(diǎn)在于解決應(yīng)用性能問題。到了2004年F5開始在WAF(Web應(yīng)用防火墻)領(lǐng)域里有了產(chǎn)品��,這時(shí)候F5從解決核心部分應(yīng)用性能轉(zhuǎn)向應(yīng)用安全與交付�����。因?yàn)閼?yīng)用無處不在���,F(xiàn)5通過收購NGINX����,讓自身整體的交付和安全以及可靠性能力拓展到了各個(gè)應(yīng)用前端����。
到現(xiàn)在���,F(xiàn)5成為WAAP(Web應(yīng)用和API防護(hù))領(lǐng)域的領(lǐng)導(dǎo)者,支持在公有云��,私有云���、容器云以及邊緣云等環(huán)境中部署�,從只有硬件部署形態(tài)到現(xiàn)在支持軟件部署��,采購模式也支持SaaS訂閱模式����,以便與AWS�、Azure、阿里云等大型云廠商相集成���,為這些環(huán)境提供更好的業(yè)務(wù)可靠性和安全服務(wù)�����。所有安全能力的擴(kuò)增�,也讓F5提出了“隨時(shí)隨地保護(hù)����、交付��、優(yōu)化任何應(yīng)用和API”的口號(hào)�。
這里重點(diǎn)說一說影子API帶來的影響以及F5的應(yīng)對(duì)方式�。影子API是當(dāng)前API安全中最為突出的問題,企業(yè)可能連自己都不清楚對(duì)外開放API接口的數(shù)量�����,由于缺乏接口的管理和維護(hù)���,因而成了黑客的攻擊目標(biāo)����。
F5的應(yīng)對(duì)方式:第一是自動(dòng)發(fā)現(xiàn)能力���,F(xiàn)5作為網(wǎng)關(guān)�����,通過識(shí)別不同協(xié)議的能力�,可以自動(dòng)識(shí)別出所有業(yè)務(wù)流量中,哪些請(qǐng)求與API接口相關(guān)����,從而梳理出每個(gè)API請(qǐng)求所需的安全策略。第二是API開發(fā)規(guī)范:很多企業(yè)有自己的一套API開發(fā)手冊(cè)來定義API接口的功能���,提供API防護(hù)能力和服務(wù)���,可以用Swagger技術(shù)將手冊(cè)導(dǎo)入到F5設(shè)備。F5安全防護(hù)組件就會(huì)自動(dòng)生成所有API請(qǐng)求的路徑和請(qǐng)求協(xié)議���,以便設(shè)定防護(hù)需求����。
第二個(gè)安全擴(kuò)增是通過收購實(shí)現(xiàn)的��,2021年F5收購了一家云工作負(fù)載安全相關(guān)的初創(chuàng)企業(yè)——Threat Stack��,將CWPP(Cloud Workload Protection Platform云工作負(fù)載保護(hù)平臺(tái))服務(wù)整合到了F5的安全體系之中��,讓用戶更輕松地在任意云平臺(tái)采用具有一致性的安全策略����。
這一層主要是云工作負(fù)載層的AIP(應(yīng)用基礎(chǔ)設(shè)施防護(hù))服務(wù),為云工作負(fù)載提供安全監(jiān)控�。Threat Stack以插件形式部署,可以實(shí)時(shí)監(jiān)控代碼層面和容器環(huán)境中是否存在安全漏洞�,比如容器環(huán)境里部署了一個(gè)第三方軟件,運(yùn)行時(shí)是否存在CVE漏洞����,存在版本過老的情況等。AIP通過自己的特征庫信息來識(shí)別這些漏洞����,一旦發(fā)現(xiàn)異常進(jìn)程,會(huì)通過告警方式告知智慧的大腦����,然后及時(shí)做相應(yīng)的分析和處理。
所有這些安全技術(shù)都可以通過遙測技術(shù)——遠(yuǎn)程實(shí)時(shí)采集端到端網(wǎng)絡(luò)數(shù)據(jù)��,實(shí)現(xiàn)網(wǎng)絡(luò)流量可視化——將所有異常流量的信息傳遞到F5的SaaS服務(wù)平臺(tái)�,通過人工智能和機(jī)器學(xué)習(xí)分析遙測數(shù)據(jù),進(jìn)行安全態(tài)勢感知分析�����,告訴用戶是否存在攻擊風(fēng)險(xiǎn)����。這個(gè)平臺(tái)因?yàn)橛蠳GINX還提供分布式的安全部署方案����,可以快速下發(fā)安全策略����,保護(hù)從工作負(fù)載到網(wǎng)絡(luò)層、數(shù)據(jù)層�、應(yīng)用層各個(gè)層面的安全。
從八大價(jià)值看F5安全架構(gòu)體現(xiàn)的價(jià)值和能力
有了安全基因����,還要看整體的安全架構(gòu),F(xiàn)5稱其整體安全架構(gòu)通過“縱深防御���,動(dòng)態(tài)對(duì)抗”為企業(yè)帶來八大價(jià)值�����。“縱深防御”是指F5從用戶請(qǐng)求到后臺(tái)應(yīng)用的每一層都進(jìn)行了安全防護(hù)部署���,然后通過動(dòng)態(tài)對(duì)抗的方式進(jìn)行安全分析���,這種能力還可以聯(lián)動(dòng)用戶本地?cái)?shù)據(jù)中心建立的智慧大腦平臺(tái)��、大數(shù)據(jù)平臺(tái)提供更加完善的安全服務(wù)���。F5通過這種方式為客戶提供三項(xiàng)安全保護(hù)——保護(hù)用戶的每一次請(qǐng)求,每一個(gè)入口和每一個(gè)安全組件�,以零信任的理念提供安全防護(hù)服務(wù)。
八大價(jià)值主要包括:1�、DNS安全。隨著客戶不斷建立多鏈路�����、多中心�����、多云多活的環(huán)境�����,用基于F5的智能DNS做解析���,能引導(dǎo)用戶安全訪問不同的入口�、不同的中心。
2����、DDoS安全。F5提供基于云SaaS服務(wù)的云清洗����,可以將用戶的安全流量或大量DDoS流量進(jìn)行清洗,以保證安全�。
3、BOT攻擊識(shí)別�����。F5在機(jī)器人識(shí)別方面有大量的研發(fā)經(jīng)歷�����,并利用人工智能和機(jī)器學(xué)習(xí)技術(shù)準(zhǔn)確識(shí)別惡意的機(jī)器人���。通過智能交互�����,識(shí)別出操作是否為機(jī)器人行為��,如果發(fā)現(xiàn)異常則及時(shí)阻斷�����。
4��、零信任接入�����。這也是F5一直向客戶提供的安全服務(wù)能力�。每個(gè)請(qǐng)求都使用零信任的接入策略進(jìn)行身份驗(yàn)證確保請(qǐng)求安全��。
5����、提供安全即服務(wù)的編排引擎。幫助用戶將其原有的安全網(wǎng)關(guān)設(shè)備從傳統(tǒng)的“糖葫蘆串”部署形式變成安全資源池化的部署形式��,支持彈性擴(kuò)展來提高可用性���。
6����、WAAP的能力。即WAAP四位一體端到端防護(hù)能力���。
7���、欺騙防御(蜜網(wǎng))。通過監(jiān)控的手段來識(shí)別出潛在的風(fēng)險(xiǎn)�����。
8����、動(dòng)態(tài)對(duì)抗。所有安全的組件通過遙測的技術(shù)分享給數(shù)據(jù)智慧的大腦���,可以進(jìn)行相應(yīng)的分析�。
最后
以上�����,我認(rèn)為是數(shù)字化轉(zhuǎn)型之后應(yīng)用實(shí)現(xiàn)價(jià)值轉(zhuǎn)化與數(shù)字安全防線構(gòu)建需要的balance(平衡)��。一直以來,F(xiàn)5以應(yīng)用為核心�,以用戶需求為導(dǎo)向,隨著應(yīng)用發(fā)展和環(huán)境變化而不斷擴(kuò)展自身安全防護(hù)體系�����,為用戶提供“感知可控�,隨需而變” 的新體驗(yàn)��。這次小編個(gè)人關(guān)注云工作負(fù)載層�,期待Threat Stack產(chǎn)品并入F5之后的更多驚喜!
比.jpg)
