F5公司高級(jí)安全架構(gòu)師 金飛

記者：F5作為一個(gè)網(wǎng)絡(luò)公司，在安全上有什么策略？對(duì)安全是如何理解的？

金飛：安全解決方案應(yīng)當(dāng)以攻擊的變化而變化，以前的攻擊可能是以資源消耗型為主。隨著傳統(tǒng)行業(yè)信息化越來(lái)越豐富，攻擊由資源消耗型轉(zhuǎn)變?yōu)樯虡I(yè)模式搶奪型。F5專(zhuān)注于應(yīng)用負(fù)載均衡，而攻擊模式由網(wǎng)絡(luò)層向應(yīng)用層的變化使F5對(duì)應(yīng)用負(fù)載的感知具有很大優(yōu)勢(shì)?，F(xiàn)在出現(xiàn)了針對(duì)應(yīng)用場(chǎng)景的攻擊，如利用程序來(lái)進(jìn)行的自動(dòng)化攻擊。因此首先需要區(qū)分攻擊是人還是程序，然后區(qū)分其在做的是好事還是壞事，做好這兩個(gè)就抓住了信息安全防御的精髓。

記者：新的技術(shù)會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生一定影響，認(rèn)識(shí)上也會(huì)有所不同，可能是安全或控制問(wèn)題，F(xiàn)5是怎么做的？

金飛：F5的優(yōu)勢(shì)在數(shù)據(jù)中心側(cè)，靠近應(yīng)用和服務(wù)器側(cè)。在接入側(cè)，身份認(rèn)證給應(yīng)用安全帶來(lái)很大挑戰(zhàn)。F5的APM可支持各種終端，實(shí)現(xiàn)由F5的設(shè)備做一次認(rèn)證，然后由F5與其他設(shè)備做二次認(rèn)證，管理員只需記一套口令即可實(shí)現(xiàn)所有設(shè)備的認(rèn)證。且原來(lái)通過(guò)VPN連接到公司核心網(wǎng)絡(luò)有隧道劫持的風(fēng)險(xiǎn)，用戶無(wú)法感知。F5方案是根據(jù)應(yīng)用分級(jí)，在一個(gè)大的設(shè)備級(jí)隧道中再為某些更為核心的應(yīng)用做一些小隧道，實(shí)現(xiàn)應(yīng)用與應(yīng)用的在設(shè)備級(jí)隧道中的隔離。

記者：F5有哪些協(xié)同合作來(lái)解決安全問(wèn)題？

金飛：F5主要解決面向應(yīng)用的安全。如大流量DDoS攻擊，如今“肉雞”由個(gè)人PC變?yōu)镮oT設(shè)備，增加了大量新的攻擊源。企業(yè)級(jí)數(shù)據(jù)中心是以有限資源對(duì)抗無(wú)限資源攻擊，這需要運(yùn)營(yíng)商與企業(yè)級(jí)數(shù)據(jù)中心進(jìn)行協(xié)同，運(yùn)營(yíng)商能夠把超出骨干網(wǎng)的流量阻斷在靠近攻擊源處，然后連同企業(yè)級(jí)數(shù)據(jù)中心的2至7層的防御架構(gòu)，即可阻斷大流量DDoS攻擊。所以未來(lái)F5會(huì)與運(yùn)營(yíng)商合作，將更多力量放到云端，形成資源池，將大的流量引入資源池做清洗，然后將“干凈”的流量導(dǎo)向數(shù)據(jù)中心。

記者：隨著形勢(shì)的變化，安全的策略也發(fā)生了很大變化，F(xiàn)5都做了哪些應(yīng)對(duì)措施？

金飛：軟件的特點(diǎn)是升級(jí)很快，我們很多產(chǎn)品每年都會(huì)有版本升級(jí)。這實(shí)際上超出了很多用戶承受能力，因?yàn)榘踩c負(fù)載均衡是矛盾的，負(fù)載均衡要求穩(wěn)定，而安全需要經(jīng)常的維護(hù)。若無(wú)法理清二者的關(guān)系，將會(huì)給運(yùn)維帶來(lái)很大難題，因此F5要求盡量將負(fù)載均衡和安全區(qū)別對(duì)待。N