【51CTO.com原創稿件】隨著企業用戶數字化轉型的深入，越來越多的企業業務都呈現出了互聯網化、移動化等特征，為了實現業務更快、更安全地上線和迭代，企業業務的應用架構和應用部署也都發生了巨大的變化：從單體應用到分層應用、再到微服務應用，從本地部署到容器化編排、再到多云部署。面對這些變化，傳統應用防護手段--Web應用防火墻（WAF）就有些力不從心。因為安全策略無法隨著應用的變遷而遷移。其次，在不同應用環境下，WAF的策略無法保持一致。再者，WAF安全性的控制水平良莠不齊。第四，不同品類的WAF產品學習成本和管理成本巨大、安全性低。如何破解這些難題？F5帶來了在不同架構、不同應用環境中提供一致性安全防護的解決方案。

隨需而變，持續打造安全防護解決方案

F5作為領先的應用交付網絡領域廠商，20余年來一直在為企業應用提供全面的安全防護解決方案。早期，F5的Web應用防火墻產品ASM主要針對傳統OWASP TOP 10進行防范。F5 ASM為每個Web APP提供了一個安全策略，與該Web APP相關的所有功能配置都綁定到該安全策略上，不同的安全策略之間的配置相互獨立。隨著企業應用架構的遷移，在用戶端，防護不能僅僅針對Web應用，還需要增加針對API、機器人的防護，這就需要更新型的工具。 為此，F5推出了AWAF，即高級Web應用防火墻（Advanced Web Application Firewall），旨在通過領先的應用安全實力, 針對日趨復雜的應用威脅，為用戶打造一體化的解決方案。F5 AWAF通過反機器人功能動態防護應用；通過按鍵加密的方式防止鍵盤監控引起的身份失竊；通過綜合性機器學習和行為分析提高應用層DDoS嗅探能力。

如今，企業的傳統應用架構都在轉向為微服務應用，因此傳統的IT架構也在向多云架構、邊緣架構遷移或改造。為了幫助企業應對多云以及邊緣端的挑戰，F5將AWAF產品的能力，包括安全引擎、安全處理能力，

遷移到了NGINX容器和公有云SaaS服務，以及邊緣的Web應用中。F5將這種可以幫助客戶在不同應用架構、不同應用部署環境中提供一致性的高級安全防護效果，安全能力伴隨用戶的應用變遷而變化的解決方案稱之為One-WAF。

F5 One-WAF核心技術揭密

F5安全架構師陳玉奇對此進行了深入介紹。以容器環境的安全防護為例，傳統的應用往往是部署在數據中心的單體應用，此時的防護只需管理Web應用防火墻或者Web應用程序和API保護(WAAP)服務，是對Web應用的輸入輸出、機器人攻擊進行統一的防護。當業務部署在容器環境時，就要求WAF能夠進入容器，針對某個容器中的一個服務進行單獨保護。此時，傳統的WAF就不能夠勝任，F5的解決方法是使用原來的引擎，基于NGINX把WAF嵌入到容器中，對Web應用進行防護。

F5 One-WAF 解決方案模型

在安全領域，安全策略之間的差異可能會導致入侵或安全事件的發生。理想的狀態是無論在容器中、主機中，或者多云、邊緣的環境中，雖然產品形態不一樣，產品管理形態不一樣，但是安全引擎和安全策略是一致的，F5 One-WAF另一大優勢也正是如此：提供一致的安全策略。部署環境的完整性，一致的安全策略，這兩大優勢使得F5 One-WAF解決了在不同架構、不同應用環境中提供一致性安全防護的難題。

不同消費模型的應用安全策略

安全體系建設流程梳理

作為資深的安全架構師，陳玉奇對企業的安全建設也有著自己的見解。陳玉奇認為，企業首先要做的是結合實際情況做出準確的需求分析，確認企業所有的業務都已經可以適應混合多云的架構。之后，企業需要考慮在混合多云的環境中，要達到什么樣的安全控制目標，比如合規的能力，快速響應、快速處理的能力等等，這也關系到企業的資金、人員的投入。在確定目標之后，企業需要評估安全體系架構是自建還是托管。如果是自建，那么人員團隊的結構，技術的儲備等就是企業首先要考慮的。如果選擇托管的方式，則要選擇合適的安全服務廠商，為企業在不同的環境中提供一致的安全服務和能力。

[[401675]]
陳玉奇 F5安全架構師

另一方面，無論是自建還是托管，企業的最終目標都是為了讓業務更順暢，這就關系到安全體系的建設是以手動的方式還是自動的方式去建立。手動的方式相對來說可控能力較強，但是對一些安全威脅的響應速度，或者應用發布的速度，就會稍有遜色。如果選擇自動的方式建立安全體系，那就意味著所選擇的安全廠商，必須要有強大的接口，來支持產品選型，提高開發效率。

第三，安全體系建設要與業務發展情況相匹配。在不同的業務發展階段，選擇不同的安全體系建設方式。

面對復雜應用的組合，應用部署環境的變化，安全風險的增加等挑戰，F5 One-WAF為企業提供了一致的、隨用戶應用變遷而變化的高級安全防護解決方案，為企業帶來了全數據通路的安全防護能力，為企業加速數字化轉型保駕護航。

更多One-WAF詳細介紹，請關注《混合云下的應用交付:F5 One-WAF解決方案模型》在線研討會。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】