×

微信扫一扫,快捷登录!

标签: 暂无标签
在IT应用模式发生剧变的今天,网络、应用服务供应商如何更好地保障客户网络安全已经成为了重中之重,如果再保持以往的单一的服务模式是满足不了客户需求的。那么,如何才能做到既保障客户网络安全,又能提升自己的运营效率与效益,也成为了网络、应用服务供应商的一大难题。
F5是应用交付网络的厂商,一直致力于帮助全球大型的企业和服务提供商实现虚拟化、云计算和“随需应变”的IT的业务价值。在2014年的RSA亚太及日本大会上F5表示,“F5在以数据中心为目标的应用交付的市场里已经处于绝对的优势了,现在F5正在向包括安全在内的更多领域迈进,因为那是一个更广阔的蓝海。”F5虽然其一直是一个低调的厂商,但在安全领域却是大刀阔斧。
F5亚太区高级安全架构师金飞,从F5的Reference Architecture参考架构入手,表达了F5在安全领域的一些理解。
理解安全:立足市场情况提出独到看法
F5进驻中国15年来,对中国的安全市场也有自己的看法和行动。安全是在整个IT环境中最重要一个领域,现在的安全跟以往有很大的区别,安全问题日新月异,金飞表示, 其实,黑客才是这个行业的引领者,决定着行业的发展方向。黑客新特点是拥有了统一的攻击平台,他们可以在攻击平台上真正实现发出多层次攻击的流量,这让原本为了“炫技”黑客转为被利益驱动,其攻击行为更有破坏力。这意味着,黑客的攻击方法和热点目标直接引导了安全行业的走向。安全厂商主要的就是跟黑客进行时间赛跑,只有跑赢才能用最小的时间弥补攻击产生的危害。金飞表示,面对业界需要的快速弥补攻击的需求,F5核心竞争力是可编程的防御架构Silverline。
安全另外一个最重要的问题就是应用复杂度。面对BYOD和物联网化,会有越来越多复杂的内容加入到原有的简单架构里,后面的应用服务器也随之复杂起来, IT架构变得非常难于控制,此时若遭受黑客的攻击,那么运维的难度可想而知。诚然,IT基础架构以及用的所有软件体量已经到了超乎想象的情况,其复杂度和代码量都达到了前所未有的高度,再也绝不是简简单单的原代码审计就可以发现攻击、弥补漏洞了,这是为什么现在安全问题变得如此复杂的根源,但如何应对复杂性又是一个问题,我们需要做什么呢?
维护安全:可编程防御架构拿出实用办法
一定要基于原有的知识以及变化,重新思考安全。传统的三层网络防护架构,即便按照我国基本的防护架构构建,设计了防御机制,也不一定安全,因为三层架构只能保证合规,但合规和安全是两个层次的问题。黑客的攻击基本都是用原代码进行的,而用户用策略做的防御抵挡不了混合攻击流量。而如果在防火墙放一层F5的设备,由F5给传统防火墙做均衡,在此同时还能保证系统性能,网络安全就会有大不同。从技术角度来讲,F5是一体化安全架构的理解,完全可以替代所有前面的防御产品和思路,但由于存在合规的需求,并不建议由F5替代三层网络防护架构。
举例来讲,DDos是非常普通的攻击方式,其有一个非常大的特点是,全世界一半以上的DDos(分布式拒绝服务攻击DDoS:Distributed Denial of Service)发起方式来自中国,同时间中国又是全球DDos84%的目标,说明两个问题,一,我们的资源的防护很差,二是我们的商业模式足够丰富,目标足够丰富。DDos目标的行业最大的是银行,银行也是未来信息安全对抗的一个最重要的领域,因为银行同互联网公司只需提供有损服务,只要求保证80%以上的用户上线支撑其商业的模式不同,银行要提供的是无损服务。而七层DDos攻击就像狙击手,有最直接的攻击效果。而F5能在一个平台上解决所有层的DDos攻击。F5的 Advanced Firewall Manager (AFM)提供62种网络层DDos,相当于F5在中间、服务器之间扮演中间员角色,把所有数据包拆到七层,每一层解决不同的攻击。同时,在F5教育架构里有一个七层防御机制,可以防护掉七层的高层DDos,金飞举例称,七层防御机制的原理是,不管是一个人,还是一个恶意软件通过服务器提出请求,F5都响应,不会提示安装插件和感受任何异样,如果是人控制浏览器就是安全的,如果是恶意软件就能被感知。
F5的思路是,任何针对于数据中心的DDos攻击,对于攻击者来讲,是无限资源的一种攻击模式,而数据中心无论你去怎样扩容,都是有限资源的一种对抗模式。所以基于互联网的这种DDoS攻击是一种有限资源和无限资源的对抗。而F5基于云端的安全服务实际上是提供了一个足够大的资源池,在全世界的四个数据中心可提供最大2TB级的带宽容量,以按需分配的引导模式,把流量引导到云端平台清洗,最后把干净的安全的流量返回到用户本地的数据中心,变成了无限资源对无限资源的制衡。
F5的可编程防御架构,就运用了原来是做负载均衡的iRules(F5基于TCL语言的定制脚本扩展模块)来做安全,用来抵御这种特征攻击,拥有有独到的优越性。同时,金飞表示,F5是软件的公司,其最有价值不是任何一款产品,而是操作系统,但F5的软件和硬件非常容易剥离,其软件和硬件相辅相成,相得益彰。
面向市场:主动服务客户满足用户需求
F5在安全服务上也做的很及时,会在安全漏洞发生的第二天,主动向全行业的客户,无论地域,用推送式的服务提供iRules脚本,用户只需部署脚本在设备上,就可以迅速且有效的阻断这种攻击。
F5作为在华耕耘多年、并且深受用户信任一线厂商,同样也积极顺应市场变化,金飞表示,云实际上是一个虚拟化的过程,对于防御架构来讲,最重要的就是防御架构能不能虚拟化,能不能融入到云的环境当中,融入到公有云、私有云或者混合云的混合架构中,这是对于原有的安全厂商最大的挑战。F5未来也将顺应云服务发展,将其作为一个重要的发展方向。
扫描左侧二维码,关注F5




上一篇:itop和teemip插件整合后无法分配管理IP问题
下一篇:引领应用交付的未来--- F5 2015 Agility高峰社区演讲实录(上午场)
anrain

写了  篇文章,拥有财富 ,被  人关注

您需要登录后才可以回帖 登录 | 立即注册
B Color Link Quote Code Smilies

成为第一个吐槽的人

Powered by IT 运维管理
返回顶部