告別個人英雄主義,F5攜加密流量精分策略重新定義網絡安全
原創【51CTO.com原創稿件】網絡安全是一個老話題,但又是個新話題。愈加多樣化的終端,愈加不可控的個人網絡行為,愈加復雜的網絡環境,讓網絡安全似乎永遠處于“道高一尺,魔高一丈”的循環中。尤其是應用安全,隨著當前應用程序的復雜化、多樣化和細分化,應用安全的重要性也被提到了一個新的高度。
對此,作為全球應用交付領域的大咖,F5在剛剛舉辦的北京網絡安全大會(BCS 2019),全方位、系統性的向中國市場展示F5的應用安全理念、技術與解決方案。F5中國安全解決方案經理陳玉奇指出,網絡安全已經告別了個人英雄時代,復雜的流量本質對應用安全策略提出了更高更新的要求。“通過多年的實踐積累,F5提出了基于加密流量精分策略以及相應的安全業務性能優化方案,不僅幫助企業用戶實現流量可視化和流量加解密,同時能夠對各類安全技術進行編排調度,進而全方位保障應用安全。”
英雄束手,復雜的流量本質帶來重重“黑幕”
“安全已經脫離了個人英雄主義的年代”,在陳玉奇看來,網絡安全已經進入了一個新時代。
隨著互聯網技術發展,流量和業務的量級進入了更高的狀態,企業為保障數據安全同步增加投入成本,而實際營收卻可能呈下降趨勢。原因在于真正運行在業務系統中的數據流量更多是被競爭對手、爬蟲業務、黃牛、掃描器以及更多的未知機器訪問所占用。這些訪問造成了投入成本的不可控制,同時也增加了流量識別難度。與此同時,原本出于安全性考慮對數據進行加密,也增強了數據隱私性,成為流量性質鑒別和精分的又一難點,進而為數據安全保護帶來了更大的挑戰。
流量精分的難點不僅僅來源于數據流量本身,還受到應用層數據加密這一防護措施的影響。為了保護傳輸過程中的數據信息安全,同時防止已丟失的登錄憑證造成損害,企業安全團隊對整個應用層進行加密處理,建立完整的撞庫/暴力破解防御體系。然而這種看似穩妥的解決方案在保護了數據隱私的同時也成為黑客的保護傘。
對此,F5提出,只有通過流量精分,從特征到行為對流量進行多維度分析處理,阻斷BOT的請求,才能真正避免惡意機器人造成的損失。
萬物加密時代,在“黑暗”中探索安全
據介紹,當前世界上有70%的互聯網流量被加密,80%的頁面訪問需要經過SSL到TLS加密,不透明的安全部署造成盲區,讓加密的安全威脅透過所有的安全設備并且不會被發現。
以SSL下的APT模型為例,過程中會涉及到探測、武器準備、投送、利用、安裝、控制、行動這一系列行為,這些行為有可能是BOT利用登錄憑證產生,也可能是因業務之間API調用產生,但在此探測、投送、利用、控制、行動的工程中,所有數據都可能會被加密,這就可能導致安全團隊精心布局的安全體系中出現一個漏洞。另外,絕大多數的魚叉釣魚、仿冒網站都因使用數據加密傳輸而無法得到完善的檢測防護,因此無論企業的安全更加注重對外來訪問的防御還是由內部對外的訪問,部署在邊界的安全設備在萬物加密的時代依然存在巨大的盲點。
為了解決盲點問題,很多企業選擇對安全設備建立菊鏈式連接,實現所有的安全設備都具備對流量的加解密能力。但菊鏈式連接在邏輯上的合理性并不能彌補實際應用中因多重加解密造成的效率低下,同時其復雜的部署策略也導致排障困難,故障點并發特征使性能和可用性較低。更重要的是,菊鏈作為固化網絡,無法根據業務需求進行靈活擴展。
在數據加密和菊鏈的雙重作用下,形成了當前所有安全設備與網絡設備呈現緊耦合狀態的企業安全模型。但因緊耦合固有的低效率、低性能、難排障的弊端,導致安全策略不能輕易調整,進而使安全模型對本地數據中心和云端越來越多的出向流量、辦公網絡的外部訪問,以及OA網絡與生產系統之間API調用這些場景,無法實現具有針對性的安全防護,一場基于對應用安全現實需求的變革正亟待發生。
撥云見日,F5安全業務優化平臺凸顯四大優勢
通過多年來的實戰,F5已經形成了一套日趨成熟的安全解決方案。面對復雜網絡環境下客戶希望其應用業務更快速、更智能、更安全的需求與當下安全模型緊耦合狀態之間的矛盾,F5提出針對雙向SSL/TLS加密流量的安全業務優化調度,實現流量可視化,解決菊鏈與安全設備對流量數據的加解密問題。在多種安全設備并存的條件下,安全技術或安全產品的接入并不受設備限制,因為F5安全業務優化平臺所進行的安全防護與安全設備無關。
在F5的應用安全解決方案當中,流量精分是實現安全優化調度的關鍵所在,精分策略將被植入到整個業務鏈,形成安全業務鏈。安全業務優化平臺將通過上下文分類引擎對實際流量進行分類,基于精分策略對業務流量加、解密后再進行流量調度,以此確認是否需要對所調度流量進行Bypass、阻斷、檢測等操作。同時,要確保安全業務鏈的高級業務監控和可擴展。當業務鏈出現流量性能不足時候,應當及時監控安全設備、安全平臺以及安全產品本身的可用性和可信度。
相比其他產品,F5安全業務優化平臺具備四大優勢。
首先,解決了以往安全設備加密造成的盲區,實現了可視化。
其次,以安全設備與網絡的松耦合替代了過去的緊耦合,解決設備之間互相調度的問題,使整個安全架構更靈活和敏捷。
再次,對于由OA網絡產生的出向訪問流量,同樣部署相應的安全設備,盡管這些安全設備沒有很好的發揮對加密流量的防護作用,但F5的安全業務優化平臺將優化其防護性能。
末尾,在整個網絡與數據中心或云端通訊過程中,將由AWAF產品對內容和應用層進行過濾。
毫無疑問,數據加密并不代表數據的安全性。在F5看來,數據加密代表數據的私密性,而私密性在保護數據的同時,也為安全防護帶來極大的挑戰。作為全球領先的應用交付廠商和應用安全廠商,以及全球web應用服務器廠商和K8s Ingress Service的廠商,F5希望能與所有的安全廠商一起,幫助客戶優化企業應用安全架構,提升企業原有安全架構性能,減少因應用威脅帶來的經濟和聲譽損失,切實保護企業應用和數據安全。
【51CTO原創稿件,合作站點轉載請注明原文作者和出處為51CTO.com】
