對此，作為全球應(yīng)用交付領(lǐng)域的大咖，F(xiàn)5在剛剛舉辦的北京網(wǎng)絡(luò)安全大會(BCS 2019)，全方位、系統(tǒng)性的向中國市場展示F5的應(yīng)用安全理念、技術(shù)與解決方案。F5中國安全解決方案經(jīng)理陳玉奇指出，網(wǎng)絡(luò)安全已經(jīng)告別了個人英雄時代，復(fù)雜的流量本質(zhì)對應(yīng)用安全策略提出了更高更新的要求。“通過多年的實踐積累，F(xiàn)5提出了基于加密流量精分策略以及相應(yīng)的安全業(yè)務(wù)性能優(yōu)化方案，不僅幫助企業(yè)用戶實現(xiàn)流量可視化和流量加解密，同時能夠?qū)Ω黝惏踩夹g(shù)進行編排調(diào)度，進而全方位保障應(yīng)用安全。”
 

英雄束手，復(fù)雜的流量本質(zhì)帶來重重“黑幕”
 

“安全已經(jīng)脫離了個人英雄主義的年代”，在陳玉奇看來，網(wǎng)絡(luò)安全已經(jīng)進入了一個新時代。

隨著互聯(lián)網(wǎng)技術(shù)發(fā)展，流量和業(yè)務(wù)的量級進入了更高的狀態(tài)，企業(yè)為保障數(shù)據(jù)安全同步增加投入成本，而實際營收卻可能呈下降趨勢。原因在于真正運行在業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)流量更多是被競爭對手、爬蟲業(yè)務(wù)、黃牛、掃描器以及更多的未知機器訪問所占用。這些訪問造成了投入成本的不可控制，同時也增加了流量識別難度。與此同時，原本出于安全性考慮對數(shù)據(jù)進行加密，也增強了數(shù)據(jù)隱私性，成為流量性質(zhì)鑒別和精分的又一難點，進而為數(shù)據(jù)安全保護帶來了更大的挑戰(zhàn)。

流量精分的難點不僅僅來源于數(shù)據(jù)流量本身，還受到應(yīng)用層數(shù)據(jù)加密這一防護措施的影響。為了保護傳輸過程中的數(shù)據(jù)信息安全，同時防止已丟失的登錄憑證造成損害，企業(yè)安全團隊對整個應(yīng)用層進行加密處理，建立完整的撞庫/暴力破解防御體系。然而這種看似穩(wěn)妥的解決方案在保護了數(shù)據(jù)隱私的同時也成為黑客的保護傘。
 

對此，F(xiàn)5提出，只有通過流量精分，從特征到行為對流量進行多維度分析處理，阻斷BOT的請求，才能真正避免惡意機器人造成的損失。
 

　　萬物加密時代，在“黑暗”中探索安全
 

據(jù)介紹，當前世界上有70%的互聯(lián)網(wǎng)流量被加密，80%的頁面訪問需要經(jīng)過SSL到TLS加密，不透明的安全部署造成盲區(qū)，讓加密的安全威脅透過所有的安全設(shè)備并且不會被發(fā)現(xiàn)。
 

以SSL下的APT模型為例，過程中會涉及到探測、武器準備、投送、利用、安裝、控制、行動這一系列行為，這些行為有可能是BOT利用登錄憑證產(chǎn)生，也可能是因業(yè)務(wù)之間API調(diào)用產(chǎn)生，但在此探測、投送、利用、控制、行動的工程中，所有數(shù)據(jù)都可能會被加密，這就可能導(dǎo)致安全團隊精心布局的安全體系中出現(xiàn)一個漏洞。另外，絕大多數(shù)的魚叉釣魚、仿冒網(wǎng)站都因使用數(shù)據(jù)加密傳輸而無法得到完善的檢測防護，因此無論企業(yè)的安全更加注重對外來訪問的防御還是由內(nèi)部對外的訪問，部署在邊界的安全設(shè)備在萬物加密的時代依然存在巨大的盲點。
 

為了解決盲點問題，很多企業(yè)選擇對安全設(shè)備建立菊鏈式連接，實現(xiàn)所有的安全設(shè)備都具備對流量的加解密能力。但菊鏈式連接在邏輯上的合理性并不能彌補實際應(yīng)用中因多重加解密造成的效率低下，同時其復(fù)雜的部署策略也導(dǎo)致排障困難，故障點并發(fā)特征使性能和可用性較低。更重要的是，菊鏈作為固化網(wǎng)絡(luò)，無法根據(jù)業(yè)務(wù)需求進行靈活擴展。
 

在數(shù)據(jù)加密和菊鏈的雙重作用下，形成了當前所有安全設(shè)備與網(wǎng)絡(luò)設(shè)備呈現(xiàn)緊耦合狀態(tài)的企業(yè)安全模型。但因緊耦合固有的低效率、低性能、難排障的弊端，導(dǎo)致安全策略不能輕易調(diào)整，進而使安全模型對本地數(shù)據(jù)中心和云端越來越多的出向流量、辦公網(wǎng)絡(luò)的外部訪問，以及OA網(wǎng)絡(luò)與生產(chǎn)系統(tǒng)之間API調(diào)用這些場景，無法實現(xiàn)具有針對性的安全防護，一場基于對應(yīng)用安全現(xiàn)實需求的變革正亟待發(fā)生。
 

撥云見日，F(xiàn)5安全業(yè)務(wù)優(yōu)化平臺凸顯四大優(yōu)勢
 

通過多年來的實戰(zhàn)，F(xiàn)5已經(jīng)形成了一套日趨成熟的安全解決方案。面對復(fù)雜網(wǎng)絡(luò)環(huán)境下客戶希望其應(yīng)用業(yè)務(wù)更快速、更智能、更安全的需求與當下安全模型緊耦合狀態(tài)之間的矛盾，F(xiàn)5提出針對雙向SSL/TLS加密流量的安全業(yè)務(wù)優(yōu)化調(diào)度，實現(xiàn)流量可視化，解決菊鏈與安全設(shè)備對流量數(shù)據(jù)的加解密問題。在多種安全設(shè)備并存的條件下，安全技術(shù)或安全產(chǎn)品的接入并不受設(shè)備限制，因為F5安全業(yè)務(wù)優(yōu)化平臺所進行的安全防護與安全設(shè)備無關(guān)。
 

在F5的應(yīng)用安全解決方案當中，流量精分是實現(xiàn)安全優(yōu)化調(diào)度的關(guān)鍵所在，精分策略將被植入到整個業(yè)務(wù)鏈，形成安全業(yè)務(wù)鏈。安全業(yè)務(wù)優(yōu)化平臺將通過上下文分類引擎對實際流量進行分類，基于精分策略對業(yè)務(wù)流量加、解密后再進行流量調(diào)度，以此確認是否需要對所調(diào)度流量進行Bypass、阻斷、檢測等操作。同時，要確保安全業(yè)務(wù)鏈的高級業(yè)務(wù)監(jiān)控和可擴展。當業(yè)務(wù)鏈出現(xiàn)流量性能不足時候，應(yīng)當及時監(jiān)控安全設(shè)備、安全平臺以及安全產(chǎn)品本身的可用性和可信度。
 

相比其他產(chǎn)品，F(xiàn)5安全業(yè)務(wù)優(yōu)化平臺具備四大優(yōu)勢。
 

首先，解決了以往安全設(shè)備加密造成的盲區(qū)，實現(xiàn)了可視化。
 

其次，以安全設(shè)備與網(wǎng)絡(luò)的松耦合替代了過去的緊耦合，解決設(shè)備之間互相調(diào)度的問題，使整個安全架構(gòu)更靈活和敏捷。
 

再次，對于由OA網(wǎng)絡(luò)產(chǎn)生的出向訪問流量，同樣部署相應(yīng)的安全設(shè)備，盡管這些安全設(shè)備沒有很好的發(fā)揮對加密流量的防護作用，但F5的安全業(yè)務(wù)優(yōu)化平臺將優(yōu)化其防護性能。
 

末尾，在整個網(wǎng)絡(luò)與數(shù)據(jù)中心或云端通訊過程中，將由AWAF產(chǎn)品對內(nèi)容和應(yīng)用層進行過濾。
 

毫無疑問，數(shù)據(jù)加密并不代表數(shù)據(jù)的安全性。在F5看來，數(shù)據(jù)加密代表數(shù)據(jù)的私密性，而私密性在保護數(shù)據(jù)的同時，也為安全防護帶來極大的挑戰(zhàn)。作為全球領(lǐng)先的應(yīng)用交付廠商和應(yīng)用安全廠商，以及全球web應(yīng)用服務(wù)器廠商和K8s Ingress Service的廠商，F(xiàn)5希望能與所有的安全廠商一起，幫助客戶優(yōu)化企業(yè)應(yīng)用安全架構(gòu)，提升企業(yè)原有安全架構(gòu)性能，減少因應(yīng)用威脅帶來的經(jīng)濟和聲譽損失，切實保護企業(yè)應(yīng)用和數(shù)據(jù)安全。