2月20日，國(guó)內(nèi)領(lǐng)先的應(yīng)用交付廠商F5在北京舉辦的一場(chǎng)安全策略溝通會(huì)上，F(xiàn)5亞太區(qū)副總裁、中國(guó)區(qū)總經(jīng)理張毅強(qiáng)攜F5中國(guó)區(qū)首席技術(shù)官吳靜濤、政企客戶部技術(shù)經(jīng)理周辛酉，分析了新環(huán)境的安全特征，并解讀了F5的新安全策略與新實(shí)踐。

中國(guó)市場(chǎng)2019年迎來(lái)“開門紅”，未來(lái)將再加大安全投入

張毅強(qiáng)首先回顧了F5在華過(guò)往一年的成果。他表示，F(xiàn)5在中國(guó)市場(chǎng)繼續(xù)保持著穩(wěn)健增長(zhǎng)，市場(chǎng)占有率穩(wěn)居第一，并贏得了市場(chǎng)認(rèn)可，包括入圍美國(guó)《財(cái)富》2018全球最受尊敬的公司名列，以及由Forrester 評(píng)定的WAF產(chǎn)品全球領(lǐng)導(dǎo)者地位等。在技術(shù)創(chuàng)新與戰(zhàn)略方向上，F(xiàn)5將安全、多云、智能作為重點(diǎn)戰(zhàn)略一以貫之，打造大數(shù)據(jù)引擎，探索AIOps的新實(shí)踐。此外，張毅強(qiáng)特別強(qiáng)調(diào)了F5在華“生態(tài)圈”的拓展，與華三、博云等本地廠商建立起緊密的戰(zhàn)略聯(lián)盟，并與華為在云戰(zhàn)略方面深化合作，有效推進(jìn)了F5的本地化策略。

悉數(shù)2018年發(fā)生的典型的安全事件案例，張毅強(qiáng)回顧道，“在這些安全事件的應(yīng)對(duì)中，F(xiàn)5像一支‘沖鋒部隊(duì)’臨危受命，幫助我們的客戶成功化解威脅。這些以往不被人關(guān)注到的行業(yè)或領(lǐng)域，開始遭遇網(wǎng)絡(luò)攻擊等安全威脅，這表明安全形勢(shì)發(fā)生了新的變化，客戶對(duì)此的訴求隨之空前強(qiáng)烈。“他強(qiáng)調(diào)，F(xiàn)5所專注的應(yīng)用交付技術(shù)與安全息息相關(guān)，甚至可以說(shuō)，安全是F5與生俱來(lái)的DNA。

F5亞太區(qū)副總裁、中國(guó)區(qū)總經(jīng)理張毅強(qiáng)發(fā)表講話

由統(tǒng)一防護(hù)策略轉(zhuǎn)向南北分層與東西灰度精分的新安全策略

對(duì)于F5安全新策略的新思維、新架構(gòu)，F(xiàn)5中國(guó)區(qū)首席技術(shù)官吳靜濤提出了在IPv4/v6網(wǎng)絡(luò)環(huán)境下的南北分層防護(hù)，東西灰度流量精分的安全策略。

吳靜濤表示，在新的安全環(huán)境中，攻防轉(zhuǎn)換已呈現(xiàn)分鐘級(jí)變化。“以往識(shí)別攻擊與用戶正常訪問(wèn)的方法相對(duì)較簡(jiǎn)單，二者的特征也差異明顯。那時(shí)候，只需將不正常的機(jī)器訪問(wèn) ‘殺掉’，讓正常的用戶訪問(wèn)通過(guò)就可以實(shí)現(xiàn)。而如今，大量的訪問(wèn)來(lái)自應(yīng)用，如果仍照此實(shí)施，便會(huì)造成用戶的正常訪問(wèn)被誤殺。”因此，吳靜濤強(qiáng)調(diào)，隨著移動(dòng)設(shè)備與應(yīng)用的大批量接入，網(wǎng)絡(luò)中的灰度越來(lái)越復(fù)雜，以往統(tǒng)一的安全防護(hù)策略將逐漸失效。

在新的安全策略中，所謂南北分層防護(hù)，客戶通常在運(yùn)營(yíng)商或者公有云的網(wǎng)絡(luò)中首先做DDoS清洗，并且在互聯(lián)網(wǎng)接口和應(yīng)用等不同層級(jí)上進(jìn)行防護(hù)。與此同時(shí)，客戶應(yīng)用架構(gòu)開始轉(zhuǎn)向API調(diào)用的結(jié)構(gòu)，應(yīng)用與應(yīng)用互相之間的關(guān)聯(lián)，以及應(yīng)用之間的調(diào)用形成東西的流量。因此，所謂東西灰度精分則是對(duì)一些關(guān)鍵的業(yè)務(wù)和應(yīng)用以精分的方式，進(jìn)行精細(xì)化的安全防護(hù)。

吳靜濤強(qiáng)調(diào)，F(xiàn)5所構(gòu)建的靈捷、彈性應(yīng)用防護(hù)架構(gòu)，根據(jù)攻擊方式的不同需求，分別對(duì)用戶類型、發(fā)布渠道、應(yīng)用版本、應(yīng)用類型進(jìn)行灰度流量精分，顯示出明顯的技術(shù)優(yōu)勢(shì)。此外，從安全架構(gòu)的實(shí)現(xiàn)層面來(lái)講，F(xiàn)5希望未來(lái)通過(guò)產(chǎn)品+服務(wù)的方式，做應(yīng)用態(tài)勢(shì)感知，將大數(shù)據(jù)采集、機(jī)器學(xué)習(xí)、智能基線、根因分析、一鍵配置變更等動(dòng)作相結(jié)合，來(lái)實(shí)現(xiàn)分鐘級(jí)別攻防轉(zhuǎn)換，最后用精細(xì)的預(yù)后優(yōu)化場(chǎng)景。

DevOps架構(gòu)下的多云多活應(yīng)用服務(wù)與可編程控制

會(huì)議現(xiàn)場(chǎng)，F(xiàn)5政企部客戶技術(shù)經(jīng)理周辛酉先生還以DDoS攻擊防護(hù)模型為例，分析了DevOps架構(gòu)下的多云多活應(yīng)用服務(wù)的技術(shù)關(guān)鍵。他表示，在多云多活的架構(gòu)之下，安全存在于從基礎(chǔ)架構(gòu)到數(shù)據(jù)與應(yīng)用的任何位置。在IPv6的環(huán)境中，無(wú)論是DDoS攻擊的量級(jí)，防護(hù)的復(fù)雜程度都與以往差異很大。F5的位置在應(yīng)用之前，為應(yīng)用提供服務(wù)，我們希望通過(guò)流量可視化以及安全的服務(wù)鏈的拆分，把安全防護(hù)變成服務(wù)。對(duì)于不同的應(yīng)用進(jìn)行安全策略的精分，不同的服務(wù)鏈的引導(dǎo)。

此外，為應(yīng)對(duì)應(yīng)用的千變?nèi)f化，可編程控制對(duì)客戶而言是十分必要的。F5提供了基于全代理架構(gòu)的可編程控制模式。其中，iRules是F5TMOS系統(tǒng)中的一項(xiàng)缺省功能，為用戶提供了可編程的多種攻擊防護(hù)實(shí)現(xiàn)方式。作為一個(gè)全代理的架構(gòu)，客戶只需進(jìn)行簡(jiǎn)單的操作，即可實(shí)時(shí)部署新的防護(hù)策略，在真實(shí)的攻防過(guò)程中占有絕對(duì)優(yōu)勢(shì)，有效減少了操作的復(fù)雜度和安全風(fēng)險(xiǎn)。