網(wǎng)絡(luò)安全是一個(gè)老話題，但又是個(gè)新話題。愈加多樣化的終端，愈加不可控的個(gè)人網(wǎng)絡(luò)行為，愈加復(fù)雜的網(wǎng)絡(luò)環(huán)境，讓網(wǎng)絡(luò)安全似乎永遠(yuǎn)處于“道高一尺，魔高一丈”的循環(huán)中。尤其是應(yīng)用安全，隨著當(dāng)前應(yīng)用程序的復(fù)雜化、多樣化和細(xì)分化，應(yīng)用安全的重要性也被提到了一個(gè)新的高度。

對此，作為全球應(yīng)用交付領(lǐng)域的領(lǐng)導(dǎo)者，F(xiàn)5在剛剛舉辦的北京網(wǎng)絡(luò)安全大會(huì)（BCS 2019），首次全方位、系統(tǒng)性的向中國市場展示F5的應(yīng)用安全理念、技術(shù)與解決方案。F5中國安全解決方案經(jīng)理陳玉奇指出，網(wǎng)絡(luò)安全已經(jīng)告別了個(gè)人英雄時(shí)代，復(fù)雜的流量本質(zhì)對應(yīng)用安全策略提出了更高更新的要求。“通過多年的實(shí)踐積累，F(xiàn)5提出了基于加密流量精分策略以及相應(yīng)的安全業(yè)務(wù)性能優(yōu)化方案，不僅幫助企業(yè)用戶實(shí)現(xiàn)流量可視化和流量加解密，同時(shí)能夠?qū)Ω黝惏踩�技術(shù)進(jìn)行編排調(diào)度，進(jìn)而全方位保障應(yīng)用安全。”
 
英雄束手，復(fù)雜的流量本質(zhì)帶來重重“黑幕”

“安全已經(jīng)脫離了個(gè)人英雄主義的年代”，在陳玉奇看來，網(wǎng)絡(luò)安全已經(jīng)進(jìn)入了一個(gè)新時(shí)代。

隨著互聯(lián)網(wǎng)技術(shù)發(fā)展，流量和業(yè)務(wù)的量級進(jìn)入前所未有的巔峰狀態(tài)，企業(yè)為保障數(shù)據(jù)安全同步增加投入成本，而實(shí)際營收卻可能呈下降趨勢。原因在于真正運(yùn)行在業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)流量更多是被競爭對手、爬蟲業(yè)務(wù)、黃牛、掃描器以及更多的未知機(jī)器訪問所占用。這些訪問造成了投入成本的不可控制，同時(shí)也增加了流量識(shí)別難度。與此同時(shí)，原本出于安全性考慮對數(shù)據(jù)進(jìn)行加密，也增強(qiáng)了數(shù)據(jù)隱私性，成為流量性質(zhì)鑒別和精分的又一難點(diǎn)，進(jìn)而為數(shù)據(jù)安全保護(hù)帶來了更大的挑戰(zhàn)。
 

流量精分的難點(diǎn)不僅僅來源于數(shù)據(jù)流量本身，還受到應(yīng)用層數(shù)據(jù)加密這一防護(hù)措施的影響。為了保護(hù)傳輸過程中的數(shù)據(jù)信息安全，同時(shí)防止已丟失的登錄憑證造成損害，企業(yè)安全團(tuán)隊(duì)對整個(gè)應(yīng)用層進(jìn)行加密處理，建立完整的撞庫/暴力破解防御體系。然而這種看似穩(wěn)妥的解決方案在保護(hù)了數(shù)據(jù)隱私的同時(shí)也成為攻擊者的保護(hù)傘。

對此，F(xiàn)5提出，只有通過流量精分，從特征到行為對流量進(jìn)行多維度分析處理，阻斷BOT的第一個(gè)請求，才能真正避免惡意機(jī)器人造成的損失。
                   
萬物加密時(shí)代，在“黑暗”中探索安全

據(jù)介紹，當(dāng)前世界上有70%的互聯(lián)網(wǎng)流量被加密，80%的頁面訪問需要經(jīng)過SSL到TLS加密，不透明的安全部署造成盲區(qū)，讓加密的安全威脅透過所有的安全設(shè)備并且不會(huì)被發(fā)現(xiàn)。

以SSL下的APT攻擊模型為例，攻擊過程中會(huì)涉及到探測、武器準(zhǔn)備、投送、利用、安裝、控制、行動(dòng)這一系列行為，這些行為有可能是BOT利用登錄憑證產(chǎn)生，也可能是因業(yè)務(wù)之間API調(diào)用產(chǎn)生，但在此探測、投送、利用、控制、行動(dòng)的工程中，所有數(shù)據(jù)都可能會(huì)被加密，這就可能導(dǎo)致安全團(tuán)隊(duì)精心布局的安全體系中出現(xiàn)一個(gè)漏洞。另外，APT攻擊中常用的水坑攻擊和類似的針對信息泄露的攻擊當(dāng)中，絕大多數(shù)的魚叉釣魚、仿冒網(wǎng)站都因使用數(shù)據(jù)加密傳輸而無法得到完善的檢測防護(hù)，因此無論企業(yè)的安全更加注重對外來訪問的防御還是由內(nèi)部對外的訪問，部署在邊界的安全設(shè)備在萬物加密的時(shí)代依然存在巨大的盲點(diǎn)。
 

為了解決盲點(diǎn)問題，很多企業(yè)選擇對安全設(shè)備建立菊鏈?zhǔn)竭B接，實(shí)現(xiàn)所有的安全設(shè)備都具備對流量的加解密能力。但菊鏈?zhǔn)竭B接在邏輯上的合理性并不能彌補(bǔ)實(shí)際應(yīng)用中因多重加解密造成的效率低下，同時(shí)其復(fù)雜的部署策略也導(dǎo)致排障困難，故障點(diǎn)并發(fā)特征使性能和可用性較低。更重要的是，菊鏈作為固化網(wǎng)絡(luò)，無法根據(jù)業(yè)務(wù)需求進(jìn)行靈活擴(kuò)展。

在數(shù)據(jù)加密和菊鏈的雙重作用下，形成了當(dāng)前所有安全設(shè)備與網(wǎng)絡(luò)設(shè)備呈現(xiàn)緊耦合狀態(tài)的企業(yè)安全模型。但因緊耦合固有的低效率、低性能、難排障的弊端，導(dǎo)致安全策略不能輕易調(diào)整，進(jìn)而使安全模型對本地?cái)?shù)據(jù)中心和云端越來越多的出向流量、辦公網(wǎng)絡(luò)的外部訪問，以及OA網(wǎng)絡(luò)與生產(chǎn)系統(tǒng)之間API調(diào)用這些場景，無法實(shí)現(xiàn)具有針對性的安全防護(hù)，一場基于對應(yīng)用安全現(xiàn)實(shí)需求的變革正亟待發(fā)生。
 

 

撥云見日，F5安全業(yè)務(wù)優(yōu)化平臺(tái)凸顯四大優(yōu)勢

通過多年來的實(shí)戰(zhàn)，F(xiàn)5已經(jīng)形成了一套日趨成熟的安全解決方案。面對復(fù)雜網(wǎng)絡(luò)環(huán)境下客戶希望其應(yīng)用業(yè)務(wù)更快速、更智能、更安全的需求與當(dāng)下安全模型緊耦合狀態(tài)之間的矛盾，F(xiàn)5提出針對雙向SSL/TLS加密流量的安全業(yè)務(wù)優(yōu)化調(diào)度，實(shí)現(xiàn)流量可視化，解決菊鏈與安全設(shè)備對流量數(shù)據(jù)的加解密問題。在多種安全設(shè)備并存的條件下，安全技術(shù)或安全產(chǎn)品的接入并不受設(shè)備限制，因?yàn)镕5安全業(yè)務(wù)優(yōu)化平臺(tái)所進(jìn)行的安全防護(hù)與安全設(shè)備無關(guān)。
 

在F5的應(yīng)用安全解決方案當(dāng)中，流量精分是實(shí)現(xiàn)安全優(yōu)化調(diào)度的關(guān)鍵所在，精分策略將被植入到整個(gè)業(yè)務(wù)鏈，形成安全業(yè)務(wù)鏈。安全業(yè)務(wù)優(yōu)化平臺(tái)將通過上下文分類引擎對實(shí)際流量進(jìn)行分類，基于精分策略對業(yè)務(wù)流量加、解密后再進(jìn)行流量調(diào)度，以此確認(rèn)是否需要對所調(diào)度流量進(jìn)行Bypass、阻斷、檢測等操作。同時(shí)，要確保安全業(yè)務(wù)鏈的高級業(yè)務(wù)監(jiān)控和可擴(kuò)展。當(dāng)業(yè)務(wù)鏈出現(xiàn)流量性能不足時(shí)候，應(yīng)當(dāng)及時(shí)監(jiān)控安全設(shè)備、安全平臺(tái)以及安全產(chǎn)品本身的可用性和可信度。
 

相比其他產(chǎn)品，F(xiàn)5安全業(yè)務(wù)優(yōu)化平臺(tái)具備四大優(yōu)勢。

首先，解決了以往安全設(shè)備加密造成的盲區(qū)，實(shí)現(xiàn)了可視化。

其次，以安全設(shè)備與網(wǎng)絡(luò)的松耦合替代了過去的緊耦合，解決設(shè)備之間互相調(diào)度的問題，使整個(gè)安全架構(gòu)更靈活和敏捷。

再次，對于由OA網(wǎng)絡(luò)產(chǎn)生的出向訪問流量，同樣部署相應(yīng)的安全設(shè)備，盡管這些安全設(shè)備沒有很好的發(fā)揮對加密流量的防護(hù)作用，但F5的安全業(yè)務(wù)優(yōu)化平臺(tái)將優(yōu)化其防護(hù)性能。

最后，在整個(gè)網(wǎng)絡(luò)與數(shù)據(jù)中心或云端通訊過程中，將由AWAF產(chǎn)品對內(nèi)容和應(yīng)用層進(jìn)行過濾。
 

 

毫無疑問，數(shù)據(jù)加密并不代表數(shù)據(jù)的安全性。在F5看來，數(shù)據(jù)加密代表數(shù)據(jù)的私密性，而私密性在保護(hù)數(shù)據(jù)的同時(shí)，也為安全防護(hù)帶來極大的挑戰(zhàn)。作為全球領(lǐng)先的應(yīng)用交付廠商和應(yīng)用安全廠商，以及全球最大的web應(yīng)用服務(wù)器廠商和K8s Ingress Service的廠商，F(xiàn)5希望能與所有的安全廠商一起，幫助客戶優(yōu)化企業(yè)應(yīng)用安全架構(gòu)，提升企業(yè)原有安全架構(gòu)性能，減少因應(yīng)用攻擊帶來的經(jīng)濟(jì)和聲譽(yù)損失，切實(shí)保護(hù)企業(yè)應(yīng)用和數(shù)據(jù)安全。
 

標(biāo)簽： F5 加密流

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。