【51CTO.com原创稿件】随着企业用户数字化转型的深入,越来越多的企业业务都呈现出了互联网化、移动化等特征,为了实现业务更快、更安全地上线和迭代,企业业务的应用架构和应用部署也都发生了巨大的变化:从单体应用到分层应用、再到微服务应用,从本地部署到容器化编排、再到多云部署。面对这些变化,传统应用防护手段--Web应用防火墙(WAF)就有些力不从心。因为安全策略无法随着应用的变迁而迁移。其次,在不同应用环境下,WAF的策略无法保持一致。再者,WAF安全性的控制水平良莠不齐。第四,不同品类的WAF产品学习成本和管理成本巨大、安全性低。如何破解这些难题?F5带来了在不同架构、不同应用环境中提供一致性安全防护的解决方案。
随需而变,持续打造安全防护解决方案
F5作为领先的应用交付网络领域厂商,20余年来一直在为企业应用提供全面的安全防护解决方案。早期,F5的Web应用防火墙产品ASM主要针对传统OWASP TOP 10进行防范。F5 ASM为每个Web APP提供了一个安全策略,与该Web APP相关的所有功能配置都绑定到该安全策略上,不同的安全策略之间的配置相互独立。随着企业应用架构的迁移,在用户端,防护不能仅仅针对Web应用,还需要增加针对API、机器人的防护,这就需要更新型的工具。 为此,F5推出了AWAF,即高级Web应用防火墙(Advanced Web Application Firewall),旨在通过领先的应用安全实力, 针对日趋复杂的应用威胁,为用户打造一体化的解决方案。F5 AWAF通过反机器人功能动态防护应用;通过按键加密的方式防止键盘监控引起的身份失窃;通过综合性机器学习和行为分析提高应用层DDoS嗅探能力。
如今,企业的传统应用架构都在转向为微服务应用,因此传统的IT架构也在向多云架构、边缘架构迁移或改造。为了帮助企业应对多云以及边缘端的挑战,F5将AWAF产品的能力,包括安全引擎、安全处理能力,
迁移到了NGINX容器和公有云SaaS服务,以及边缘的Web应用中。F5将这种可以帮助客户在不同应用架构、不同应用部署环境中提供一致性的高级安全防护效果,安全能力伴随用户的应用变迁而变化的解决方案称之为One-WAF。
F5 One-WAF核心技术揭密
F5安全架构师陈玉奇对此进行了深入介绍。以容器环境的安全防护为例,传统的应用往往是部署在数据中心的单体应用,此时的防护只需管理Web应用防火墙或者Web应用程序和API保护(WAAP)服务,是对Web应用的输入输出、机器人攻击进行统一的防护。当业务部署在容器环境时,就要求WAF能够进入容器,针对某个容器中的一个服务进行单独保护。此时,传统的WAF就不能够胜任,F5的解决方法是使用原来的引擎,基于NGINX把WAF嵌入到容器中,对Web应用进行防护。
F5 One-WAF 解决方案模型
在安全领域,安全策略之间的差异可能会导致入侵或安全事件的发生。理想的状态是无论在容器中、主机中,或者多云、边缘的环境中,虽然产品形态不一样,产品管理形态不一样,但是安全引擎和安全策略是一致的,F5 One-WAF另一大优势也正是如此:提供一致的安全策略。部署环境的完整性,一致的安全策略,这两大优势使得F5 One-WAF解决了在不同架构、不同应用环境中提供一致性安全防护的难题。
不同消费模型的应用安全策略
安全体系建设流程梳理
作为资深的安全架构师,陈玉奇对企业的安全建设也有着自己的见解。陈玉奇认为,企业首先要做的是结合实际情况做出准确的需求分析,确认企业所有的业务都已经可以适应混合多云的架构。之后,企业需要考虑在混合多云的环境中,要达到什么样的安全控制目标,比如合规的能力,快速响应、快速处理的能力等等,这也关系到企业的资金、人员的投入。在确定目标之后,企业需要评估安全体系架构是自建还是托管。如果是自建,那么人员团队的结构,技术的储备等就是企业首先要考虑的。如果选择托管的方式,则要选择合适的安全服务厂商,为企业在不同的环境中提供一致的安全服务和能力。
另一方面,无论是自建还是托管,企业的最终目标都是为了让业务更顺畅,这就关系到安全体系的建设是以手动的方式还是自动的方式去建立。手动的方式相对来说可控能力较强,但是对一些安全威胁的响应速度,或者应用发布的速度,就会稍有逊色。如果选择自动的方式建立安全体系,那就意味着所选择的安全厂商,必须要有强大的接口,来支持产品选型,提高开发效率。
第三,安全体系建设要与业务发展情况相匹配。在不同的业务发展阶段,选择不同的安全体系建设方式。
面对复杂应用的组合,应用部署环境的变化,安全风险的增加等挑战,F5 One-WAF为企业提供了一致的、随用户应用变迁而变化的高级安全防护解决方案,为企业带来了全数据通路的安全防护能力,为企业加速数字化转型保驾护航。
更多One-WAF详细介绍,请关注《混合云下的应用交付:F5 One-WAF解决方案模型》在线研讨会。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
