隨著應(yīng)用的爆炸式增長,以及IoT、人工智能市場的不斷成熟,都給安全帶來了新的挑戰(zhàn)。近期,F(xiàn)5中國區(qū)總經(jīng)理張毅強(qiáng)攜F5中國區(qū)首席技術(shù)官吳靜濤、政企客戶部技術(shù)經(jīng)理周辛酉在一次安全策略溝通會上,對F5如何看待新環(huán)境下的安全問題進(jìn)行了闡述。張毅強(qiáng)首先講到,“從2018年開始,F(xiàn)5把戰(zhàn)略目標(biāo)定位在安全、多云及智能三大方向上,將打造大數(shù)據(jù)引擎,探索AIOps的新實(shí)踐。而2019年F5在安全方面將加大投入力度,并持續(xù)發(fā)力。”

F5中國區(qū)總經(jīng)理 張毅強(qiáng)
那么,為何F5如此看重安全問題,甚至把其提升到首要戰(zhàn)略上來呢?從F5在中國的市場表現(xiàn)來看,其始終保持著穩(wěn)健增長,市場占有率穩(wěn)居第一。而從全球業(yè)績來看,F(xiàn)5營收在22億美金,全球ADC市場份額保持在47.3%,包括入圍美國《財(cái)富》 2018全球最受尊敬的公司名列,其中前50名公司有49家使用了F5設(shè)備,以及獲得由Forrester 評定的WAF產(chǎn)品全球領(lǐng)導(dǎo)者地位等。由此可見,F(xiàn)5已經(jīng)在ADC及WAF領(lǐng)域占據(jù)了絕對的優(yōu)勢地位。張毅強(qiáng)非常自豪的講到,“在應(yīng)用交付控制器(ADC)方面,F(xiàn)5是唯一一家具備五大公有云認(rèn)證的廠商,而從全球整體市場發(fā)展來看,應(yīng)用交付與安全之間的關(guān)系將變的越來越不可分割。”
對此,張毅強(qiáng)還特別回顧了2018年發(fā)生的幾起典型的安全事件,其中包括2018年末針對全球金融機(jī)構(gòu)發(fā)起的大規(guī)模DDoS攻擊等,張毅強(qiáng)表示,“在這些安全事件中,F(xiàn)5可謂是臨危受命,在不到一周的時(shí)間內(nèi)專門組織了針對DDoS防御的技術(shù)講座,并得到了140多個(gè)客戶的參與和高度評價(jià),最終幫助客戶成功化解了攻擊威脅。而從攻擊趨勢來看,以往很多不被關(guān)注的行業(yè)及領(lǐng)域,目前正在遭受網(wǎng)絡(luò)攻擊的嚴(yán)重威脅,整體安全形勢正在發(fā)生改變,這也是F5將重心放在安全上的主要因素之一。”
此外,張毅強(qiáng)還分享了F5針對IPv6環(huán)境下所做的一系列安全準(zhǔn)備。張毅強(qiáng)非常感慨的講到,“過去很多人認(rèn)為F5就是做應(yīng)用交付、負(fù)載均衡,F(xiàn)5也一直對安全問題比較低調(diào),但今天我認(rèn)為F5必須站出來講我們就是一家安全企業(yè),可以說F5骨子里、血液里的DNA就是安全。事實(shí)上F5的負(fù)載均衡、應(yīng)用交付產(chǎn)品在客戶端已經(jīng)被配置成了防火墻來應(yīng)用,因?yàn)閭鹘y(tǒng)防火墻在很多情況下根本無法實(shí)現(xiàn)對應(yīng)用流量的精準(zhǔn)區(qū)分。所以,F(xiàn)5現(xiàn)在必須站在用戶角度去解決這些安全性問題。”
而在多云方面,張毅強(qiáng)表示,“毋庸置疑,F(xiàn)5會利用過去五年多時(shí)間中在多活數(shù)據(jù)中心方面所打下的深厚基礎(chǔ),在多云、多活方面進(jìn)行更深入的行業(yè)和全市場范圍的推廣。而在制衡AIOps方面,F(xiàn)5中國區(qū)可謂是一個(gè)特殊的發(fā)力點(diǎn),也在市場上形成了新的標(biāo)準(zhǔn)。”
此外,張毅強(qiáng)還特別強(qiáng)調(diào)了F5在中國的“生態(tài)圈”拓展計(jì)劃,將與華三、博云等國內(nèi)廠商建立戰(zhàn)略聯(lián)盟,并與華為在云戰(zhàn)略方面進(jìn)行深化合作,同時(shí)F5還與神州數(shù)碼建立了緊密的合作關(guān)系,從而有效推進(jìn)F5的本地化策略。
南北分層與東西灰度精分的安全策略

F5中國區(qū)首席技術(shù)官 吳靜濤
F5中國區(qū)首席技術(shù)官吳靜濤在現(xiàn)場提出了基于南北分層防護(hù)、東西灰度流量精分的F5全新安全策略,其實(shí)這一策略早應(yīng)用到了F5的產(chǎn)品當(dāng)中,而用戶也已經(jīng)享受到這種策略所帶來的安全優(yōu)勢。對此,吳靜濤表示,“在新的安全環(huán)境中,攻防轉(zhuǎn)換已呈現(xiàn)分鐘級變化。以往在識別攻擊與正常用戶訪問時(shí)的特征差異比較明顯,因此只需將不正常的訪問‘殺掉’,讓正常訪問流量通過就實(shí)現(xiàn)了對攻擊流量的有效過濾。而如今,大量訪問來自應(yīng)用,如果仍照此實(shí)施,就會造成正常訪問被大量誤殺的情況,這也是目前很多用戶在運(yùn)營業(yè)務(wù)當(dāng)中最關(guān)心的問題。”

因此,吳靜濤特別強(qiáng)調(diào),“隨著移動設(shè)備與應(yīng)用的大批量接入,網(wǎng)絡(luò)中的灰度越來越復(fù)雜,以往統(tǒng)一的安全防護(hù)策略將逐漸失效。而基于南北分層的防護(hù)方式,用戶可以通過運(yùn)營商或公有云中提供的DDoS清洗服務(wù),在互聯(lián)網(wǎng)接口和應(yīng)用等不同層級上進(jìn)行防護(hù)。與此同時(shí),很多用戶應(yīng)用架構(gòu)開始轉(zhuǎn)向API調(diào)用的結(jié)構(gòu),應(yīng)用之間相互關(guān)聯(lián),以及應(yīng)用之間相互調(diào)用形成了東西流量。因此,基于東西灰度精分就成為了對一些關(guān)鍵業(yè)務(wù)和應(yīng)用以精分方式進(jìn)行精細(xì)化安全防護(hù)的重要手段。”
另外,吳靜濤還分享了F5所構(gòu)建的靈敏、彈性應(yīng)用防護(hù)架構(gòu),能夠根據(jù)攻擊方式的不同需求,分別對用戶類型、發(fā)布渠道、應(yīng)用版本、應(yīng)用類型進(jìn)行灰度流量精分,體現(xiàn)出了明顯的技術(shù)優(yōu)勢。此外,從安全架構(gòu)的實(shí)現(xiàn)層面,吳靜濤表示,“F5希望未來通過產(chǎn)品+服務(wù)的方式,做應(yīng)用態(tài)勢感知,將大數(shù)據(jù)采集、機(jī)器學(xué)習(xí)、智能基線、根因分析、一鍵配置變更等動作相結(jié)合,以此實(shí)現(xiàn)分鐘級的攻防轉(zhuǎn)換,并利用精細(xì)化的安全策略優(yōu)化場景。”
DevOps架構(gòu)下的多云多活應(yīng)用服務(wù)

F5政企部客戶技術(shù)經(jīng)理 周辛酉
F5政企部客戶技術(shù)經(jīng)理周辛酉在現(xiàn)場以DDoS攻擊防護(hù)模型為例,分享了F5 在DevOps架構(gòu)下的多云多活應(yīng)用服務(wù)的技術(shù)細(xì)節(jié)。周辛酉表示,“在多云多活架構(gòu)下,安全存在于從基礎(chǔ)架構(gòu)到數(shù)據(jù)與應(yīng)用的任何位置。在IPv6的環(huán)境中,無論是DDoS攻擊的量級,還是防護(hù)的復(fù)雜程度都將與以往產(chǎn)生巨大差別。而F5的優(yōu)勢在于,其設(shè)備的位置在應(yīng)用之前,能夠通過流量可視化以及安全的服務(wù)鏈拆分,為應(yīng)用提供有效的安全性服務(wù)。”
此外,周辛酉還表示,“為了應(yīng)對應(yīng)用的千變?nèi)f化,可編程控制目前對用戶而言十分重要,F(xiàn)5提供了基于全代理架構(gòu)的可編程控制模式。在F5 TMOS系統(tǒng)中提供了一項(xiàng)缺省功能iRules,能夠?yàn)橛脩籼峁┟鎸Χ喾N攻擊防護(hù)的可編程方式。作為一款全代理架構(gòu),其降低了用戶操作的復(fù)雜程度,大大提高了安全防護(hù)策略的部署效率,從而有效減少了操作的復(fù)雜度與安全風(fēng)險(xiǎn)。”