从负载均衡、应用交付到交付安全,在短短的十数年里,交付领域的变化可谓日新月异,从软件到硬件,从4层负载到7层应用,而这两年,主流厂商又将应用交付的大旗指向了信息安全。这些仅仅是厂商的“噱头”么?事实并非如此。
安全自需求而来
应用交付是从负载均衡概念延伸而来,最初的负载均衡作为一项分担技术,曾经是路由交换设备的基本技术(如链路负载),其主要目的在于解决大并发数据流量时的压力分担,以及做4层的服务器负载均衡,随着客户应用越来越复杂、需求越来越多,逐渐产生了应用层的负载均衡。
应用交付的产生主要来源于两个因素:一是客户需求的提升,除了负载均衡,客户的应用需要在部署时更加灵活,更加适应应用本身的特点;二是SSL加速技术、HTTP压缩技术等一系列应用交付技术在不断发展和整合,这些都推动着应用交付持续向前发展。从应用部署理念上来讲,负载均衡关注业务流进入数据中心的过程,而应用交付更加关注应用交付出去的效果,更加关注用户的使用体验。
应用交付技术正是从业务连续性着手,从解决高可用性,逐渐发展到解决应用优化、安全问题,一步步的迈向用户的最终需求。对于提供应用交付的厂商而言,从最开始的传统的网络厂商,慢慢的有更多关注于应用、关注于安全的厂商加入进来。而传统的网络厂商也逐步迈向安全,应用交付技术与安全技术的融合已经成为一个大趋势。
技术推动安全
应用交付产品在做4层负载均衡时,协议、IP、接口等信息是其分担技术基础,而7层的负载技术同时也要求应用交付产品能够完成对应用层协议,如:HTTP、SMTP等协议的解析。这些技术为应用交付产品完成安全功能打下了技术基础。
交付技术在不断更新,但应用交付的部署位置却从未改变。服务器负载(应用加速、卸载)通常部署在服务器区前端,链路负载通常部署在多链路出口,而这些位置本身也正是传统安全产品防火墙、IPS、WAF的部署位置。
安全问题的日益突出,也使得应用交付产品设计人员注意到,通过应用交付产品构建第一道安全防线的必要性。而国际以及国内主流安全厂商的跟进,则使得这种希望逐渐变为现实。#p#
应用交付身上的安全因子
更进一步的访问控制
基于IP、协议、端口的4层访问控制已经是防火墙产品的标配,对于应用交付来说,仅仅支持4层的访问控制还远远不够,如今网络攻击已经由传统的3、4层向4、7层扩展。通过对应用层的协议解析,应用交付产品可以支持对应用层数据的访问控制,因而使服务器得到更高的安全性。
DDoS攻击的第一道防线
服务器负载均衡是应用交付的基本应用,应用交付负责将用户流量分担到不同服务器上。可以想象,一台没有任何安全功能的应用交付产品,在发生DDoS攻击时,毫无区分的将DDoS攻击的流量分配到用户服务器所带来的灾难性的后果。
反之,通过在应用交付产品上合理配置就可以很好的应对DDoS攻击。应用交付产品自身工作在TCP代理模式,在这种模式下,通过代理、cookie等技术可有效识别攻击者身份。此外,应用交付产品相比传统防火墙、IPS具备更高的连接处理能力,可以更好的保护后端的服务器。
越来越被重视的DNS安全
DNS是互联网中最基础又至关重要的一环,应用交付产品在做智能DNS以及全局负载均衡部署中,可以很容易的扩展DNS服务器的响应能力。通过对DNS报文的合规检查,以及DNS报文的速率控制,可以防止针对企业域名的DNS flood攻击。而对DNSSEC的支持可以有效的防止DNS劫持。
SSL加密内容检测
众所周知,银行的网上数据都是基于SSL加密的。传统的网络安全理念与攻击防护无法解决网上的应用攻击问题,典型的就是目前常见的防火墙,入侵检测和IPS等设备的特征码技术在银行的SSL加密流量下毫无用处,无法进行解密。应用交付产品提供的SSL卸载功能,不单能减轻后台服务器的负担,更重要的是,可以对卸载后的数据进行安全检测,阻断攻击报文。
WEB安全
WEB安全的核心是对HTTP报文的解析和处理,应用交付产品部署在服务器前端时,在优化、加速业务的同时,也在并行处理各种安全事务。从HTTP协议合规性检查,到防信息泄露,以及各种SQL/XSS的阻断。
在保障应用安全性与畅通的同时,极大的减少了服务器群的负载,将服务器从大量安全连接、数据加密中解脱出来,更加专注在应用处理本身。目前主流的应用交付厂商都将WAF作为应用交付产品的一部分,甚至引申出专门的WEB安全产品来销售,由此可见WEB安全在应用交付领域的重要性。
编辑点评:
安全势必成为应用交付领域中不可忽视的一环,用户在选择应用交付产品时,除了关注性能之外,也需要更加关注交付的安全性。