随着网络攻击的频率和性质不断发生变化,企业IT部门发现有效解决安全问题的难度越来越大。目前网络攻击逐渐呈现出复杂、多层次的威胁特征,针对于4-7层的应用层攻击越来越多的出现在企业中,给很多IT部门管理者造成很大的困扰。
一方面,面对新的持续性的高级网络威胁,IT部门很难有效的发现这些攻击特征。诸如网络防火墙、IPS和防毒系统这样的传统安全解决方案通常部署在独立设备之上,在面对这些高级网络威胁时,这种静态方法并不利于IT安全策略的实施,而保护应用、用户和数据就无从谈起,换句话说,传统的安全防御思路根本无从应对这些新的威胁和新的挑战。
此外,新的安全攻击多是复杂的多层攻击,使用多个攻击向量将目标锁定在网络以及基础应用和数据上。一个攻击可能通过拒绝服务(DoS)攻击锁定网络层,然后通过Web浏览器锁定应用漏洞。这使得IT部门很难掌握攻击行为,原本的第三层IP层的攻击,对于IT部门来说,是可视的,可管的,但针对4-7层的应用攻击,传统网络防火墙等解决方案就显得力不从心。
因此,对于企业IT部门来说,他们需要能够提供跨层可视性、4-7层检测能力,以及对应用的具有保护能力的安全解决方案。而这也已经得到了业界的普遍认可。
Gartner研究副总裁Greg Young曾表示:"如今,最严重的非法行为都是通过利用Web应用实现的。虽然Web应用防火墙已经取得了明显进步,但是单层解决方案不足以抵御今天的复杂攻击。对于IT机构而言,最关键的是采用专门的安全保护方法,同时保护网络和应用。"
我们都非常清楚,解决安全问题需要全方位的思考。对于目前的安全威胁现状和传统的防御理念,F5网络作为一家知名IT公司,有着不同的看法。
F5 Networks 负责安全与战略解决方案的运营网络高级副总裁Manny Rivelo先生表示:"F5正在用实际行动努力改变企业用户的传统安全防御理念。F5目前为用户提供的价值主要体现在4-7层的IT架构中,我不得不说,过去20年的安全防御体系都是围绕第三层IP层进行的,虽然IP层很重要,但至少在今天看来IP层出现的弱点--不了解用户、不了解应用、不了解会话,使得针对4-7层的攻击更加复杂。而F5的优势就在于4-7层灵活管理,这也是为什么F5通过开发一系列安全产品,用事实改变目前的安全现状。"
F5 Networks运营网络高级副总裁Manny Rivelo先生
实际上,F5期望的不仅仅是解决目前新的安全难题,这家公司更加希望做到4-7层的灵活架构和业务集成。用Manny Rivelo先生的话说,F5在安全方面希望做到以下三点:
1、更好帮助客户了解4-7层的IT架构
2、让用户了解DNA(动态、网络、架构)的信息。
3、F5所提供的服务必须要让用户得到更好的体验。
换句话说,F5要做的事情,就是让企业IT架构实现应用与用户之间的对接,而安全在这其中就显得格外重要。即使你的IT架构实现了可用性和快速交付,但你没有对应用进行相关的保护,那么这样的IT架构还存在很大的缺陷。也就是说,安全、快速、高可用这三者对于企业IT部门来说必须兼顾。
在谈到安全永远是一攻一防的矛盾体时,Manny Rivelo先生也有不同的观点,他认为所谓的安全是与过去比,与过去比你才知道现在是安全的,因为你永远也无法预知未来会怎样,会有什么攻击出现,这时,你就只能用现有的技术保护自己。而当有新的威胁出现时,企业IT部门需要做的其实是"反映",换句话说,攻和防之间是一个平衡问题,关键是看企业的反映速度有多快,攻击和防御的时间差有多少。据介绍,F5目前要求做到的是"零日"威胁,意思就是从发现威胁到打齐补丁的时间差不超过一天。
实际上,在51CTO.com记者看来,安全问题就是一个悖论,怎样做都无法保证企业满意。当威胁发生时,F5公司的观点是不要试图找到与攻击相关的所有连接,那样容易发生其他的攻击事件,而F5的做法是利用对4-7层的可视性,可控性,让企业有充分的时间做出相关的反映。
这也是F5公司的安全理念:为企业用户提供4-7层的安全保护,因为F5对企业用户的应用更加了解。
问题出来了,既然F5可以提供4-7层的安全防护,那么面对国内外众多知名的、专业的安全公司,F5的安全解决方案优势在哪里呢?
显然,这是很多企业CIO想知道答案的问题。不过在Manny Rivelo先生看来,这并不是难以回答,他强调说,过去十年F5一直致力于帮助实现可靠,快速交付和易管理的IT架构。其实,F5在安全方面也一直努力着,比如一如既往地给企业用户提供网络层防火墙等安全模块。而面对现在新的安全威胁和挑战,F5早就为此做好了充分准备,因为没有任何一家专业安全公司比我们更了解企业的应用现状。过去的十年我们一直在深入了解企业的应用,试问谁能比我们更加了解企业应用面临的安全问题呢?
Manny Rivelo先生认为,专业安全公司的安全解决方案固然能够解决用户面临新的安全挑战,但这无疑给企业整个IT架构带来管理的复杂性,从而影响企业管理成本增加,这并非危言耸听,而是事实。F5的安全解决方案给企业带来的价值是整合技术、使IT架构灵捷可靠,应用安全运行,最终会促使管理成本下降。
"最终还是那句话,安全、快速、高可用这三者对于企业IT部门来说必须得到兼顾。而F5恰巧十多年一直在为此而努力着。" Manny Rivelo先生如是说。
F5总裁兼CEO John McAdam先生也曾谈到这样的观点"未来在F5的产品中加入更多的管理功能,来适应市场的新发展。我们希望客户能够具有更强大的管理功能,将软件和系统整合在一起来管理,这样更加方便他们实现管理动态、灵活的数据中心。"
我们不妨看看F5安全解决方案有哪些技术优势:
网络安全层面的挑战:为了保证应用的安全,企业可以尝试追踪并修补明显的漏洞。也可以部署单独的解决方案,专用于保护应用安全,但这些解决方案并不能增强性能或简化控制。
F5的安全解决方案:F5 BIG-IP本地流量管理器(LTM) 应用交付控制器有助于企业保证基于网络的应用与数据的安全,同时提供一个战略控制点,提高应用性能。
一方面BIG-IP LTM作为一个安全代理,用于防止基于网络的SYN泛洪和其它网络拒绝服务(DoS)以及分布式拒绝服务(DDoS)攻击,而且它提供了控制功能,用于定义和执行基于L4的过滤规则,以提高网络防护能力。
此外,BIG-IP LTM还使您能够有选择地加密数据, 以保护并优化企业的通信。通过使用最强大的安全套接层 (SSL) 加密、位加密和4096密钥长度而支持先进的加密标准算法,BIG-IP LTM作为您的关键业务资源的网关。BIG-IP LTM可用在灵活的多解决方案设备平台上,或者作为虚拟版本而运行。
Web接入管理层面的安全挑战:为了保证用户轻松地接入关键的Web应用,许多企业创建了安全性最低的网络。网络管理员需要更好地了解并控制网络中日益增多的应用接入用户。然而,这一要求可导致企业的IT基础设施复杂性升高,扩展难度增大,而且费用昂贵。
F5的安全解决方案:BIG-IP接入策略管理器(APM) 是一个灵活的高性能接入与安全解决方案,提供了基于策略并具有上下文感知能力的用户接入,同时可以简化验证、授权和计费(AAA)管理。通过在BIG-IP上直接实现AAA控制,您可以整合接入基础设施,降低验证和授权成本,并同时支持数千个用户,同时保证每秒数百个用户登录。BIG-IP APM可作为灵活的多解决方案BIG-IP LTM和BIG-IP LTM虚拟版本平台上的一个产品模块。
应用安全方面的挑战:随着网络上的应用流量不断增加,敏感数据面临着遭受针对企业应用的漏洞攻击的风险。因此,恢复流程、法律费用以及知识产权数据丢失所带来的财务影响会非常严重。许多管理员认为他们的网络是安全的,因为他们部署了防火墙,但是,黑客可能攻击应用层,因为该层存在更大的漏洞。
F5的安全解决方案:BIG-IP应用安全管理器(ASM) 是一个先进的Web应用防火墙,可显著减少和控制数据、知识产权和Web应用丢失或损坏的风险。BIG-IP ASM提供了应用和网站防护,例如防止7层DDoS等最新的Web威胁。此外,BIG-IP ASM为您提供了完整的攻击专家系统,并且可以满足关键的法规要求。
远程接入方面的安全挑战:IT 部门必须支持不断增多的移动员工的要求。保证这些用户通过不同设备并在不同位置安全、无缝地接入应用和数据变得越来越具有挑战性。IT部门可以部署不同厂商的孤立解决方案,以促进接入、加速和优化。但随着用户数量的增多,这种孤岛式方法不仅复杂、灵活性低,而且难以管理。随着新威胁不断出现,防止未授权的接入和攻击也变得日益困难。这种费用高昂且容易出错的环境限制了成功的远程接入,并阻碍了业务增长。
F5的安全解决方案:BIG-IP Edge Gateway是一种企业接入解决方案,它将针对远程用户的SSL虚拟专网 (VPN) 远程接入、安全、应用加速和可用性服务结合在一起。BIG-IP Edge Gateway将身份管理融入网络中,以LAN的速度提供具有上下文感知的、基于策略的、安全的远程应用接入。作为行业中最安全的加速接入解决方案,BIG-IP Edge Gateway可帮助接入关键业务应用和网络的用户实现最高的性能。借助BIG-IP Edge Gateway,客户可以轻松地使用户通过任何网络或移动设备(包括Apple iPhone、Apple iPad、Andriod、Windows Mobile和Windows Phone设备)更快地远程接入企业应用和数据。
下面这段视频或许能够让你的企业更加了解,F5的安全解决方案优势:
在51CTO.com记者看来,企业用户要考虑到未来2年甚至更长时间的网络及安全需求。但在企业IT应用迅速增加、移动互联网、动态数据中心快速发展的今天,如果只根据当前需求部署相应的解决方案,用户就会因此变得极为被动。着眼未来,避免搭建复杂的IT基础架构,面对日益增加的安全威胁及问题,前瞻性的部署十分重要。或许F5的安全解决方案能够使企业IT部门获得新的防御思路。