从代码到用户：F5全数据通路防护为应用安全保驾护航

 

一、直面数字化转型和应用大爆炸时代

在数字转型大环境的影响下，应用程序对企业业务发展愈加重要，所面临的安全挑战也多种多样，其中多云环境下的安全挑战尤为严峻。应用为各种接入点和位置提供业务服务的同时，也给新安全风险和攻击载体提供了可乘之机。

提到数字化转型，在专注应用交付领域的F5公司今年发布的《2020年应用服务状况报告(亚太版)》中，调查结果显示：随着多云结构和混合云架构的部署，越来越多的企业认识到了业务中应用部署的规模和速度提高所带来的的收益，但应用种类和数量激增也带来了各种各样的问题，其中网络安全问题最为显著，云数据泄露事件时有发生，每隔一段时间总能听到类似事件爆出，网络安全攻击也在时时上演。对此F5在安全方面早早布局，在产品中注入安全基因，并交出了一份让市场满意的答卷。

那么一个应用交付厂商布局安全是如何取得不错的成绩的呢？

F5中国区技术总监陈亮说到，应用安全是企业的生命线，在应用层面安全防护的状态下，做一个全数据通路的保护至关重要。

 

二、来自全数据通路保护通道的矛盾与挑战

何为数据通路呢？其实当访问一个应用时，需要代码，服务器虚拟机、公有云、容器， 互联网再到用户终端等一整条链路共同配合协作，各个环节都有可能发生安全问题。

陈亮介绍：“用户通过层层安全网关到最终访问应用，对应的安全设备就要做安全防护、策略方向的调整，这是一条整体的全数据通路保护通道。”

而要做到从代码到用户的全数据通路保护并非易事。

1. 用户可信度低：很多安全攻击事件都是因为“非人”用户而造成了大规模的冲击渗透，致使业务中断。如何判断用户是否可信至关重要。
2. 加密流量的矛盾：明文传输时一旦流量被截获，易造成敏感信息泄露。目前为了保证安全性和数据安全，用户访问应用的过程中进行了流量加密，安全网关设备中穿过的加密流量无法被查看，对安全攻击行为造成了不可探测的盲点。而通过技术手段对加密代码进行解密之后，又会造成用户访问延迟，体验下降，这是一个很难避免的矛盾
3. 多云环境复杂：一个安全的设备在本地数据中心可以部署，那么迁移到公有云的时候是否还能正常部署？这对于安全网关设备厂商的技术能力要求很高，从而造成了多云环境下的安全策略无法实现一致。
4. 业务安全不足：除了应用层面的安全，很多行为（如薅羊毛、撞库、资源滥用等）会对业务安全造成冲击。传统的中间部署安全网关设备更多以网络层面、连接数等简单行为作为安全判断手段基于业务安全方面还有所欠缺。
5. 安全网关设备坚守同盟还是各自为战：在整个全通路数据保护过程中，任何一个节点出现问题或者调整的时候，一个随应用而动的自动化策略防护手段尤为重要，而现在的全数据通路防护手段在现有的防护方法下还有很多欠缺。

 

 三、全数据通路保护为应用安全保驾护航

人们对于F5的了解更多停留于负载均衡与应用交付，其实对应用有深刻理解的F5除了提供独特的应用服务外，还有独一无二的安全。

“我们有很多客户把F5当门神”陈亮说道：“因为F5在互联网入口的位置，借助于全代理架构，高性能的平台防护了很多攻击。所以有很多客户都把F5放在互联网的最外侧迎接这种挑战，去抵御这种攻击。”

 

在平台的控制层面F5可以对所有设备和关键节点进行统一控制和策略下发，实现联动。

F5的设备和Nginx利用遥测技术对用户访问和应用信息进行收集处理，传递到云平台或第三方大数据分析平台，从而实现AI智能和安全威胁服务的利用。

结合以上，全数据通路解决方案便可在可信的应用访问-流量清洗-流量可视与流量精分-应用层安全防护-业务安全防护以下五个环节中发挥各自的安全能量

 

可信的应用访问-是敌是友始于精准识别

在疫情当下，远程访问需求大大增加，用户是否可信？是人还是机器？是否做了安全优化？是否授权？通过F5的解决方案可以在这个层面上提供识别和防护，当可信用户进入后，F5在原有的基础架构层面上同样可以提供相应的安全。

 

流量清洗-天网+地网协力守护

流量清洗可以简单理解为“天网”和“地网”。“天网”是指和运营商、CDN厂商合作。把安全清洗防护能力交给大型服务提供商，把海量的攻击阻挡在天网层面。

所谓“地网”，是指在数据中心内部有便捷的安全和DNS这种基础架构的安全，这是F5边界防护的能力上的一个很好的防护手段。

 

流量可视与流量精分—黑暗中探索安全

F5可以对加密流量进行解密，因为F5是专用的加解密的设备，解密以后把它以精分的形式传递给F5的网关，或者第三方的安全网关等不同的安全网关设备。不同的流量交由不同的安全网关设备处理后，再给后台的应用响应。以此可以把各自为战的安全设备我们结成攻守同盟，可以做灵捷策略的调整。

“这样合规和对抗就可以真正的实现并重，同时实现策略和灰度的安全发布”

 

应用层安全防护-Nginx 云原生应用安全

应用层安全包括对应用和周边的安全保护， F5解决方案可防范诸如应用层拒绝服务、恶意脚本和注入攻击等安全问题。另外，收购Nginx 使得F5可在云原生的环境中提供更加高效和智能的防御能力，实现了真正的云原生的应用安全。

 

业务安全防护- Shape Security助力应用安全

今年2月，F5完成了对Shape Security的收购。Shape Security是一家以云安全为背景的独角兽的安防公司，主要基于人工智能和机器学习再通过云的服务能力来提高安全性。更关注业务安全，在面对业务安全方面的攻击行为，借助Shape Security在人工智能和机器学习的先进技术，F5的解决方案可以在API层面提供更好的管理和安全防护，保护业务安全 。

陈亮解释说，“F5的安全解决方案整体可以理解成一个警察，警察用红外摄像头去识别用户，定位用户个人的身份信息与来源。经过大数据后台分析，马上识别出这个用户是否可信（可信应用访问），可信后进入我们设立的安全闸口（基础架构安全）大量的攻击可以阻拦在安全闸口层面。但不可避免还是会有漏网之鱼，这时F5的流量可视和精分可以做策略调整，调度各类安全网关进行防御，好比是警察的两只手可以举盾牌，可以掏手枪，可以挥警棍，不同的安全设备都可以通过F5进行调度，根据不同的情况调用不同的安全设备进行防守。同时，F5的WAF就是防弹衣，对我们贴身保护。

在后面应用层，云原生的安全可以理解为给警察打上疫苗，在应用出生的时候，安全防护也已随之而生。恐怖分子扔催泪瓦斯也好，毒气也罢，我的疫苗随应用而生了便可以提供云原生的安全保护。”

 

“以此来看，F5从识别到安全服务编排调度，再到云原生的保护，整体全通路的保护的能力得到了一个充分的体现，同时还借助于可视化、AI智能的服务能力，来提高我们的响应能力和风险识别能力，这都是整体F5通路保护的一些方法。

另外一个更重要的，这些能力所有集合在一起，通过每个关键节点所采集的用户访问行为，应用访问过程等信息通过遥测技术汇聚到大数据分析平台，可以真正的帮助客户实现态势感知，感知到这些安全的流量以及风险，同时实现动态的防御。同时API的接口也好，调度的策略也好，把安全网关的能力充分调动起来，以此真正实现从合规到对抗的转变。”陈亮说道。

 

“在未来，F5依然会秉承从代码到用户这个理念，全通路过程当中，应用一定还会在多云环境之下更多拓展。” 云服务也是F5多云应用的重点服务的目标。

另外，所有数据都会变成客户数据的核心资产，因此所有在通路上经过F5进行处理的流量，都可以按照用户要求，将流量中的客户行为，终端类型，应用状况，访问延时等信息，通过遥测技术传递到“大脑”。“大脑”可以是F5云服务所提供的云分析的能力，也可以是客户自己搭建的云分析平台，以此来提升用户对于整体数据通路的终端，网络，安全以及业务的可视性与洞察力。甚至对于未来基于大数据分析，人工智能的运营手段的提升等， 都是F5未来提供给客户更多解决方案的发力方向。

 

四、F5对于DDoS攻击的解决方案有何独到之处？

DDoS攻击已经被看作是目前最大的网络安全威胁之一，近年来因DDoS攻击导致业务瘫痪的新闻不绝于耳，因此市面上也已经形成了非常丰富的“抗D”产品。问及在当前市场环境下F5对于DDoS攻击解决方案的独到之处，陈亮说到：“对F5来讲，我们会分析DDoS的攻击流量，如果以攻瘫网站为目的，流量是很大的，可调用的资源很多且成本相当低。所以对于客户在防守的过程中，首先从理念上要有一些变化和准备，比如借助于云安全运营商或CDN等服务商的高性能的服务能力，将网络层的DDoS攻击流量进行清洗，在数据中心层面构筑可灵捷扩展，可精准防护的应用层DDoS防护措施，具体来讲，一定采用全代理的防护模式，防止攻击者通过攻击手段触发DDoS设备Bypass模式(略过模式或旁路模式)，造成防护效，而且一定要采用“池化”部署方式，可以在某个安全网关出现性能极限时，进行灵捷扩展。”

F5所具备的全代理防御模式，会执续抵御攻击者的攻击行为，同时采用云部署模型的安全防护的手段, 可以在随时用软件化的形式基于云的理念进行弹性的扩展，来提高对抗的能力。

 

对于企业如何有效防御DDoS攻击，F5给以下建议

1. 要建设纵深防御的能力，就是要具备云清洗服务能力和本地防守能力，一层层渐进做防御。
2. 要搭建能够形成资源池的防御方法，一定要有云技术、云理念的防御方法。
3. 要有更多的可视化的能力，可视化的能力目标是能及时的发现攻击，同时借助自动化的手段，及时的调整安全防护策略。
4. 再次谈到全通路的防护。因为我们不可能在边界的位置阻挡掉所有类型的攻击， 有DDoS攻击，有隐藏其中的渗透行为，欺诈行为，数据窃取，帐号盗用等攻击，这就需要全通路里面的每一层级的各类安全设备都能攻守同盟，具有相应的识别能力和阻挡能力。

“总结来讲，就是要纵深防御，要有资源池的扩展能力，要有全通路的防控手段，以此来提高DDoS的防护。”陈亮总结道。

今年5月20日，F5“代码到用户”线上峰会也将正式拉开帷幕。F5全球首席科学家、首席技术官林耕将以中文演讲，阐释“代码到用户”的技术发展路径，为企业面临的数字化转型挑战提出创新思维与落地解决方案。

另外F5 在去年完成对 NGINX 的收购之后，将首次邀请 NGINX 之父分享NGINX 的前身、现在和未来以及如何利用NGINX 技术为客户产生更多的价值。

为了让客户发挥更多现有设备和解决方案的价值。F5在数字联盟和合作伙伴联盟方向会展示更多方式和技术手段。同时，金融科技板块也有更多精彩内容和技术干货。

 

五、写在最后

越来越多的攻击事件驱动着国内企业加速补全安全板块，F5也多次帮助客户圆满化解危机，肩负起了企业的一份社会责任。“对症下药”，发挥自身技术力量的同时，又先后收购NGINX和Shape Security以实现云原生应用安全能力和跨多云环境下的应用防护能力。让越来越多的人认识到，F5除了提供领先的应用服务外，还有独一无二的安全。

足以见到，F5期望通过自己的技术，方案，乃至每一份努力，帮助行业加速完成数字化转型，为应用安全与数据安全保驾护航，拥抱不断变化未来的决心。