应用正在成为我们工作和生活不可或缺的一部分,无论是出行、支付、订单、开会……这些都在用数字化的形式去取代传统的消费。此时企业业务的开展,以及工作内容同样也在发生着翻天覆地的变化,基于现代化应用的数字化转型已然变成企业必须要做的一件事情。
然而对于企业来讲,数字化转型也并非易事。比较明显的一个趋势是,企业的应用数量进入爆炸式增长,IDC数据表明:从2019年到2025年,应用数量至少有5倍的增长,将达到48亿。
随之带来的是,应用之间如何保持安全平衡的问题。因为每个应用与应用之间的调用关系,业务与业务之间访问的关系都造成了某一个安全的缺失,或者某一个应用的故障或者安全被渗透,都会产生非常大的不良后果。如果应用出现缓慢、客户访问体验下降,这对企业来说,都是致命的打击。
另一方面,为更好地应对应用爆发式增长,一定需要有底层的架构来支撑应用的运行。所以为了能够支撑应用快速的进行上线和发布,客户在以前传统用在数据中心层面的部署形式拓展到边缘层,扩展到公有云、容器云,甚至扩展到CDN,快速的网络交付等层面。此时,客户安全架构的体系能否提供一致的安全防护能力,这是一个非常巨大的挑战。
此外,随着进入API经济时代,对于企业来讲,通过API的接口和第三方互联,无论数据还是客户的行为习惯,都可以通过API的方式进行获龋有了API之后,因为技术在发生着变化,底层的通讯协议在API的发展过程中发挥的作用非常大:比如基于IoT,设备和设备之间要用MQTT的协议通过API接口进行互通;还有微服务之间采用gRPC的协议,通过API接口进行互通等。
也就是说,现有安全的防护能力是否能识别每一种API的传输协议,能否针对每一个安全API所提供出来的接口,实现可信、访问控制确保一个应用或者一个企业的内部已经通过API接口被打得千疮百孔之下,依然有一套特别好的防护体系,成为企业现代化应用转型的又一挑战。
“从IDC的报告中可以看到,IT的投资因为数字化的转型在进行加速,每年以5%的速度在增长。其中安全投资的占比要远远大于IT投资的增长速度。” F5安全事业部总经理兼金融及企业事业部技术总监陈亮在接受笔者的采访时表示,F5希望通过安全基因的扩增,以及整体架构的创新和服务,帮助客户构筑数字安全新防线。
事实上,F5从1996年出生起就具备了安全基因。彼时F5采用全代理的模式,一边接客户,一边接应用,所有的用户之间传递的请求都要经过F5进行处理之后才会转发给后台的应用。后台的应用返回的内容也会经过F5进行层层的检查,对敏感的信息进行修改、隐藏,对于攻击的行为都会进行及时的阻断,保证用户的请求来回之间的安全。
“成立之初的F5主要是解决两个问题:一个是应用大爆炸,所有和应用相关,需要大流量、大并发、请求的场景;另一个是应用安全。”陈亮表示,从2004年开始主攻WAF领域,如今的F5已经成为基于Web应用安全、DDoS防护、机器人识别以及API安全四位一体的WAAP领域的领导者,而且多年创新和对产品的打磨,也使得F5能够在软件化、边缘云,以及所有公有云、私有云等环境中,无处不在。
基于能力的创新,F5的安全基因有了大幅度的扩增:从应用交付厂商成为应用交付和应用安全双一流的厂商;通过收购NGINX,让F5整体的交付和安全,以及可靠性的能力拓展到各个应用前端,也使得F5从原来的关注核心应用变成所有的应用都可以依赖于F5+NGINX进行相应的覆盖;部署从数据中心内部变成可以部署在私有云、公有云、容器云,甚至是边缘云。采购的模型从原来永久的采购模型变成可订阅的销售模型,使得客户在选用F5的时候更加的灵活,部署也更加灵活。
值得一提的是,2021年F5收购了一家威胁检测公司Threat Stack,主要负责在云工作负载层面,也就是安全领域CWPP,即Cloud Workload Protection Platform。F5将这一能力整合在整体安全防护体系之内,使得在承载应用的环境,也有了相应的保护手段。网络层F5具备DevOps防护墙、DevOps安全;数据传输层上面协议层面的合规性,F5也具备加解密能力;应用层针对于WAF、API、BOT或者SSL VPN的安全接入等, F5从工作的负载层,一直到网络层、数据层、应用层,全栈的安全能力有了很好的提升。
“所有层面的安全技术,F5各个安全组件都可以用遥测的技术把所有的异常流量的信息传递给F5基于SaaS的服务平台,通过人工智能和机器学习的手段分析遥测数据,做安全态势感知的分析,告诉客户是否存在攻击的风险,而不简简单单只是做一个安全日志的传送。”在陈亮看来,通过安全基因的扩增,F5能够为客户提供随时随地保护、交付、优化任何应用和API的能力,F5将其称为“纵深防御、动态对抗”的安全架构。
纵深防御可以理解为,安全防护能力都可以部署在任何的位置,从用户请求开始一直到后台承载应用运行的每一个应用,或者API的接口,所有能力都是纵深部署。可以部署边缘层、边缘网络、边缘云,可以部署在客户的网络接入区,以及DMZ区或应用接入区,每一个层面都是纵深进行部署,层层进行防御。
动态对抗则可以在每一层面进行部署F5安全服务的组件,将其中发现的安全访问的异常日志行为、异常的请求行为,以遥测的方式传递给”智慧的大脑“,进行人工智能、机器学习的分析。同时这个能力也可以和客户所建的本地数据中心建立的智慧大脑平台、大数据平台、安全感知的平台进行联动,统一提供相应的安全态势感知和安全服务。
总体来看,在整体的安全架构之下,F5可以为客户提供八大价值:DNS安全,帮助客户在多链路、两地三中心以及多云多活的环境之下,基于F5的智能DNS做解析,引导客户访问不同的入口和中心;DDoS的安全、海量的攻击,基于云SaaS服务的云清洗,在客户本地建立清洗服务中心,把安全流量或者大量DDoS流量进行清洗;BOT的攻击识别,介入大量的人工智能和机器学习的技术,真正的识别机器人;零信任接入,每个请求都会借助于零信任的理念,对身份进行校验,行为进行分析,对身份所具备的权限进行授权管理,实现安全的接入的控制;提供安全即服务编排引擎,帮客户将原有的安全网关设备从传统一个“糖葫芦串”的部署形式变成安全资源池化的部署形式;WAAP能力,集WAF WEB应用安全、DDoS、BOT防护以及API防护四位一体,成为F5具备为客户提供应用层防护的整体能力;欺骗防御(蜜网),通过监控手段识别潜在风险;动态对抗,所有安全的组件通过遥测的技术分享给数据智慧的大脑,可以进行相应的分析。
写在最后
在2023年,我们看到API技术被更多的企业使用,所以基于API的安全也变得尤其重要。
“对F5来讲,我们将会在2023年主推API整体解决方案,以安全架构为基础,针对于API安全可信访问做大量的方案整合。”陈亮透露,无论是外部的API请求和内部的API调用,都可以从四个方面:接入控制、零信任访问授权、网络层面的安全以及应用层面的安全,一层一层的进行过滤,包括识别和防护,来保证享受API经济的同时,保证每一笔API请求的安全性。
