【51CTO.com原创稿件】受疫情等因素的影响,企业数字化转型的进程被按下了快捷键。在数字化转型过程中,企业也面临着诸多挑战。首当其冲的就是复杂的应用组合。以金融行业为例,以往通过柜台以及简单的电脑终端操作就可以进行交易,而当今越来越多的业务趋向互联网化、移动化,催生了更多种类的终端以及更多种交易方式。这就需要支撑这些应用的环境也发生变化:云环境、多云环境、微服务、容器化等等。而客户不可能立即把使用多年的IT架构全都抛弃,因为这样成本、时间和风险都是不可控的。所以更多的企业用户构建新的IT环境来支持新型应用,新、旧IT环境是共存的。对于运维人员来说,管理复杂的环境是他们面临的一大挑战。
第二是安全风险暴增。随着数字化转型进程的深入,更多的业务只能线上办理,或者更多的客户选择线上办理,随之而来的就是安全攻击事件越来越多,这就给金融企业带来了巨大的安全压力。
第三,可视化的不足。越来越多的企业战略都在从以产品为中心转向以客户为中心。客户追求更好的用户体验,需要时刻反馈、监控业务办理的进程。
此外,安全监管政策也发生了很大的变化。从早期的静态加固,到被动对抗,根据应用调整不同的策略,以满足合规要求,再到安全态势感知,主动对抗防护,合规和主动对抗已经成为了安全的基础。
面对诸多挑战,传统安全架构暴露出了一系列的问题:加密流量造成了安全盲点和高性能消耗;所有流量流经所有安全设备,造成了资源浪费;高延迟影响了用户访问体验;安全设备策略一成不变;安全设备扩展性差,扩容难度大;“东西”流量的云原生安全能力不足。企业需要全数据通路的安全防护来破解这些难题。所谓全数据是指从客户到背后的应用,无论是南北向的流量还是容器、云原生内部的东西向流量,都需要有安全防护的能力。
F5感知可控、随需而变的应用防护的手段
F5作为全球领先的应用交付网络领域厂商,20余年来一直在为企业应用提供全面的安全防护解决方案。近年来,通过收购NGINX和Shape Security,不断丰富F5的产品线,帮助客户打造一个可以实现全数据通路防护下的体系和架构。F5中国区金融事业部技术总监兼安全事业部副总经理陈亮对此进行了详细介绍。
首先,F5是具备天生的全代理架构下的安全基因的厂商。当有流量到来的时候,F5解决方案首先会判断、识别流量是否可靠、可信、安全,再传输到后台的服务器。服务器返回的内容,也只有判定为安全的流量才会传递给客户,这是全代理的过程。如果做分发则需要F5的负载均衡产品;如果做端口IP层的防护则需要F5防火墙产品;如果对七层应用进行判断之后再转发,就是七层的负载均衡;如果判断应用层有很多安全的风险,则需要用WAF来进行阻断。正是F5具有这种在网络和应用之间的桥梁作用,使得F5天生具备了这种全代理的安全基因。
第二,在云原生层面,NGINX是目前全世界下载量最多的,使用量最高的WEB服务器反向代理的开源软件。F5收购NGINX后,由于NGINX中已经有了非常多的与云原生应用安全相关的,API应用安全相关的能力,所以F5+NGINX已经具备了从客户到代码的全数据通路的保护能力。随着2019年对Shape Security的收购,在业务防范能力上,F5基于人工智能、机器学习等技术,在防欺诈、业务层面的安全防护的能力也得到了有效的提升,真正实现了全数据通路下的保护能力。值得注意的是,F5安全防护产品可以部署在所有的环境中:数据中心、容器、混合云、多云。
从架构上来说,在基础层,是流量的清洗、边界安全的防护。当请求进入的时候,F5的安全产品可以进行流量的可视和精分,把流量按需分配给其他的安全设备网关进行处理。这样一来在合规和对抗的时候,双模的安全模式就可以起到比较好的效果。
在应用层,F5有包括云原生、API、容器化、微服务架构的全端安全防护。
值得注意的是,F5的遥测技术可以把客户端产生的交易的请求、延时的请求、客户访问请求的数据,安全攻击事件的数据等等传递给F5的大脑,或客户自建的数据中台,与客户联动,也可以利用F5自身的AI大脑进行流动,以此提高可视化,对业务进行支撑,实现态势感知和动态防御。所有流量在AI大脑进行判断之后,下发的策略会更加准确,而且更动态化。
专业的服务团队和安全产业联盟
除了一整套的安全解决方案,F5还拥有全球的富有经验的、具有安全认证的团队,保证7*24小时的响应,实时保护用户免受安全攻击。此外,F5还提供专业的威胁情报和安全服务,F5的专业团队在全世界范围内对所有的流量进行监控,基于大数据和AI进行安全分析,区分正常流量和恶意流量,进行行为分析和终端分析,联合安全产业专家,共同抵御各种安全威胁,为客户提供统一的威胁分析服务,应对多云环境下的应用风险和应用健康保障。
作为一家“小而美”的厂商,F5联合业界多家安全厂商建立了安全产业联盟,希望以此给客户更好的选择。
总之,随着F5不断整合NGINX和Shape等产品线,其全数据通路防护的能力也得到了进一步提升,在应用层安全、流量可视与精分、基础架构安全和可信应用访问等方面,都展示了更强大的防护能力,也在过往的客户实践中得到了充分验证。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
