F5是应用交付领域的领导者,殊不知它在安全领域的投入和表现已经超出了许多人的想象。“无论何时何地,在任何设备上,都能交付应用。”这是我们听惯了的F5的Slogon。
在安全领域,F5同样有一个理念,“F5可确保从任何地方访问应用,同时为这些应用提供保护,而不管它们位于何处。”
如果你要问,F5为什么能从ADC延展到安全,是因为它最靠近应用,数据库的前端、防御体系的最后端,这就给了它发挥安全作用的先天优势。
当然,有了天时地利还不够,更重要的是其是否具备优秀的技术能力。以F5 BIG-IP ASM举例,在Gartner发布的2015年Web应用防火墙(WAF)魔力象限中,F5入选挑战者象限,并在执行力上高于其他专业安全厂商,包括唯一处于领导者象限的Imperva。
总结F5的安全架构可以分为三个方面,数据中心的安全架构、基于虚拟化和云的安全架构、基于防欺诈功能的安全架构。
在此,我们要说的重点不是F5的数据中心安全及虚拟化和云安全,而是一种独特的网络防欺诈的安全保护思路。
F5亚太区安全架构师金飞
基于业务场景化的全新防御思路
WebSafe是F5最新推出的防欺诈解决方案,可帮助公司保护网络客户免受多种基于Web的恶意软件攻击,并防御专门针对Web应用用户的在线欺诈。F5亚太区安全架构师金飞称它为基于业务场景的攻击防护解决方案。
金飞认为,基于场景的更加细致的防御方案是未来的方向。如果把WAF理解为筛沙子的网,WebSafe就是筛PM2.5的网,它可以做到页面级参数细粒度的防护。
为什么说安全的防护越来越场景化?传统来说,有1G的流量打进来,防火墙对这1G进行筛选,筛选后发现攻击流量1M或几百k,然后把它挑出来并阻断掉。基本来说,威胁流量总是占一个非常小的比例。但对防火墙来说,不能90%的流量不管,事实上来看,90%基本上都是静态页或常规访问。
所以,常规的设备有大量的性能消耗在本来就没有威胁的流量上。对攻击者来说,一般是攻击登录页或交易页,打击的方向也是很精准的。如此看来,防御架构是否也可以调整一下思路,转变为精准的防御高危页面,只有当被打击页面启动之后防御体系才生效。基于页面和参数细粒度的防御思路更精准、更具有对抗性,这也是下一步安全体系的防御方向。
WebSafe通过采用多种辨识技术识别网络欺诈、自动传输尝试和其他恶意软件模式,这些解决方案的高级功能可帮助检测、提示并防范普通的和针对客户端的恶意软件、钓鱼攻击以及其他欺诈活动,从而显著减少身份盗用、账户窃取和欺诈交易。
金飞指出,WebSafe对用户来说,零安装、全透明、兼容所有的浏览器,不会更改用户体验或增加代码的复杂性,对最终使用者来说是非常认可的。这对金融行业来说,有可能某一天会替代传统上已经成为使用习惯的USB Key方案。
此外,F5还提供了专门针对移动设备的应用安全解决方案,通过F5 MobileSafe, 客户能过获得防钓鱼、恶意软件嗅探、防止自动交易以及客户敏感信息保护等多角度防卫机制,并可以主动智能的解除在用户移动设备上发现的本地威胁。
为数据中心和云构建全层级防御体系
看得出,F5致力于引领新的安全防御思路,不过在数据中心,F5同样利用先天的优势为用户构建了一套牢固的防御架构。以开文所说的F5 ASM为例,加上其原有的AFM,在中国落地的很多项目中,F5推出了企业级清洗中心的概念,相当于把F5打成一个包,做成企业级的2-7层的清洗中心,金飞说。
同时随着云的普通应用,F5可以把防御产品以虚拟化的版本放到公有云里,“很多应用进了虚拟化环境第一需求已经从负载均衡变成了安全,很多盒子的设备到云虚拟化环境中搬不进去了,应用可以搬进去、盒子搬不进去,所以需要跟随式的、定制化的私有防御架构,F5可以很好的实现。”
目前,F5安全已经跟国内多个云及运营商展开合作,以运营商合作为例,他们买F5的安全方案为客户提供安全服务,但用户可能不知道幕后是谁的技术,其实背后是F5的方案在发挥作用。
DDoS、WAF、IPS、ADC等等,F5在一套通用的系统架构上提供了多重安全解决方案,这是其他安全厂商所不具备的。并且,据介绍,F5也有计划将安全作为一个独立部门面向市场,到那时,无疑安全市场将真正迎来了一个有竞争力的参与者。
原文发布时间为:2016-06-06
本文作者:陈广成
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。