全球数字化转型持续加速,越来越多的企业业务都呈现出了互联网化、移动化等特征,这使得“应用”的数量呈现爆炸式的增长。IDC研究数据表明,全球应用数量将从 2019 年的 10 亿,增长到 2025 年的 48 亿。“API”已经扩展到了云服务、微服务和移动应用程序,这给企业IT架构带来了巨大的挑战,安全问题也日益严峻。
与此同时,大量的业务依托于应用对外进行发布,企业暴露在互联网上的攻击面也越来越多,供应链攻击、密码泄漏、零日漏洞等安全风险都给企业带来了致命的损失。
无边界的应用安全挑战
企业发展,安全先行。F5作为多云应用安全和应用交付服务技术的领导者, 在安全领域有着自己独特的视角。F5中国区安全事业部总经理陈亮在2022年F5多云应用服务科技峰会会后专访中表示,当前应用安全挑战主要有以下六个。
F5中国区安全事业部总经理陈亮
首先是应用快速迭代,但是安全防护策略滞后。应用的部署时间已经从原来的月、周,缩短到了日、分、秒,而安全策略由于缺乏自动化的部署方式而变得滞后,影响了应用发布的速度。
第二,应用无处不在,使得安全策略很难达成一致。传统数据中心的安全、公有云中的安全,以及容器云的安全,部署策略和方式、防护手段不尽相同,很难达到一致的安全防护要求。
第三,机器人的攻击和欺诈行为越来越难以防范。很多黑客利用机器人的攻击、人工智能的攻击方式来进行攻击,难以防范。
第四,传统应用和现代应用并存,增加了防护的难度。
第五,管理和防护API的风险成为了新的挑战。现代应用的发布,互相之间的调用,都是通过API的形式来实现。管理、防护API的风险对于企业来说是一个非常大的挑战。
第六,开源创新危机四伏。企业在使用开源软件来创新,提升敏捷性的同时,如何将这些危机消除掉,是亟待解决的问题。
“安全是企业的生命线。无论是CIO,还是安全团队,包括运维团队和开发团队,都要达成统一的共识,将安全放在首位。”陈亮表示。
六大能力,随时随地保护任何应用
IDC的报告显示,从2020年至2025年,企业在安全方面的投入增幅已经超过了IT投入的增幅。
F5作为全球领先的应用交付网络领域厂商,20余年来一直在为企业应用提供全面的安全防护解决方案。近年来,通过收购NGINX和Shape Security,不断丰富F5的产品线,帮助客户打造了一个可以实现全数据通路防护下的体系和架构。陈亮在采访中对此进行了详细介绍。
首先,可信应用访问的能力。当今,客户的应用已经发生了很大的变化,应用所部署的环境也多种多样,必须要有一个可信应用访问的能力,来进行人机识别、防欺诈识别,同时也有授信访问,实现可信安全地访问后台应用。
第二,增强基础架构安全的能力。因为应用的爆炸带来了大量用户的线上请求,对企业基础架构的安全处理能力有了更高的要求。在基础架构安全方面,F5有DDOS清洗,南北/东西流量边界安全服务,不再以数据中心作为边界,而是重新从应用视角出发定义了新的边界。值得注意的是,针对DNS的攻击是在应用层攻击中排名第二的攻击方式,仅次于HTTP,然而却往往被忽略了,业内很少有针对DNS防护的产品。F5针对纵深的DNS防护安全架构,提出了新的理念,能够帮助客户应对相应的挑战。
第三,流量可视与精分的能力。安全是一个复杂的工程,除了应用层的安全,还涉及到数据安全、应用安全、代码安全等,此时就需要把加密的流量通过安全网关的设备进行处理,将所有的安全技术联动在一起,通过相应的算法和调动策略,充分发挥安全网关的能力。这时,如何解决部署、拓展困难,以及网关出现故障后流量中断的问题成为企业面临的挑战。
F5针对SSL流量精分和可视流量具备灵活调度的能力,将所有安全网关以资源池或安全域的形式进行旁路部署,并对流量进行编排、解密和可视化,如此一来,什么样的流量请求交给哪一个安全网关设备进行分级处理,都可以进行调配、分流,极大提高安全的互相协调和可扩展的能力。
第四,WEB应用和API安全的能力。大量的API请求使得应用的边界消失,API的安全边界也消失了,传统的WAF正在消亡。Gartner提出了一个最新的理念---WAAP的防护架构,包含了WEB应用,API防护,DDoS和Bots四位一体的能力。Gartner指出,WAAP将成为后续客户大量部署、使用的一个关键技术。到2024年将有70%的组织在多云的环境下趋向于使用WAAP的技术。
F5完全具备这四个能力,并通过多云环境统一的应用安全,实现了不同环境下的统一安全策略调配,以此发挥更大的作用。同时,也可以更好地整合企业现有的安全能力,将传统的WAF服务和WAAP架构并存,强化安全能力。WAAP也可做成按需的形式,既提高安全性,也提高访问的效率;或将WAP的能力移植在边缘环境、云环境里面进行使用等。
总之,无论用户把应用部署在哪里,F5 的WAAP能力都能够如影相随,把F5的安全能力投放到应用所部署的位置。
第五,可信开源的能力。F5近日正式发布NGINX企阅版(NGINX OSSub),能够帮助企业在使用开源能力的时候,防范五种开源风险:技术路线风险、知识产权风险、信息安全风险、技术能力风险和供应链风险。
第六,安全洞察与AI智能的能力。在端到端的访问请求中,会产生大量的、可用的、可分析的数据,所有的信息都可以通过遥测的方式传递给F5的大脑,也可以传递给企业客户自建的大数据分析平台,来实现自动化策略的下发、防欺诈的智能识别,提升用户的访问体验。端到端数据的处理,大数据、人工智能、机器学习等技术的结合,可以极大发挥出数据的价值。
“所有的能力聚合在一起以后,F5可以通过自身的能力,随时随地保护、交付,并优化任何应用和API。”陈亮表示。
结语
企业的快速发展和安全防护往往是矛盾的。F5不断整合NGINX和Shape等产品线,进一步提升了F5全数据通路防护的能力。安全左移的理念、API优先的能力、可视化的能力、流量精分的能力,为企业提供了统一的威胁分析服务,助力企业应对多云环境下的应用风险,为企业提供强有力的应用安全保障。