F5公司高級(jí)安全架構(gòu)師 金飛
記者:F5作為一個(gè)網(wǎng)絡(luò)公司,在安全上有什么策略?對(duì)安全是如何理解的?
金飛:安全解決方案應(yīng)當(dāng)以攻擊的變化而變化,以前的攻擊可能是以資源消耗型為主。隨著傳統(tǒng)行業(yè)信息化越來(lái)越豐富,攻擊由資源消耗型轉(zhuǎn)變?yōu)樯虡I(yè)模式搶奪型。F5專(zhuān)注于應(yīng)用負(fù)載均衡,而攻擊模式由網(wǎng)絡(luò)層向應(yīng)用層的變化使F5對(duì)應(yīng)用負(fù)載的感知具有很大優(yōu)勢(shì)?,F(xiàn)在出現(xiàn)了針對(duì)應(yīng)用場(chǎng)景的攻擊,如利用程序來(lái)進(jìn)行的自動(dòng)化攻擊。因此首先需要區(qū)分攻擊是人還是程序,然后區(qū)分其在做的是好事還是壞事,做好這兩個(gè)就抓住了信息安全防御的精髓。
記者:新的技術(shù)會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生一定影響,認(rèn)識(shí)上也會(huì)有所不同,可能是安全或控制問(wèn)題,F(xiàn)5是怎么做的?
金飛:F5的優(yōu)勢(shì)在數(shù)據(jù)中心側(cè),靠近應(yīng)用和服務(wù)器側(cè)。在接入側(cè),身份認(rèn)證給應(yīng)用安全帶來(lái)很大挑戰(zhàn)。F5的APM可支持各種終端,實(shí)現(xiàn)由F5的設(shè)備做一次認(rèn)證,然后由F5與其他設(shè)備做二次認(rèn)證,管理員只需記一套口令即可實(shí)現(xiàn)所有設(shè)備的認(rèn)證。且原來(lái)通過(guò)VPN連接到公司核心網(wǎng)絡(luò)有隧道劫持的風(fēng)險(xiǎn),用戶無(wú)法感知。F5方案是根據(jù)應(yīng)用分級(jí),在一個(gè)大的設(shè)備級(jí)隧道中再為某些更為核心的應(yīng)用做一些小隧道,實(shí)現(xiàn)應(yīng)用與應(yīng)用的在設(shè)備級(jí)隧道中的隔離。
記者:F5有哪些協(xié)同合作來(lái)解決安全問(wèn)題?
金飛:F5主要解決面向應(yīng)用的安全。如大流量DDoS攻擊,如今“肉雞”由個(gè)人PC變?yōu)镮oT設(shè)備,增加了大量新的攻擊源。企業(yè)級(jí)數(shù)據(jù)中心是以有限資源對(duì)抗無(wú)限資源攻擊,這需要運(yùn)營(yíng)商與企業(yè)級(jí)數(shù)據(jù)中心進(jìn)行協(xié)同,運(yùn)營(yíng)商能夠把超出骨干網(wǎng)的流量阻斷在靠近攻擊源處,然后連同企業(yè)級(jí)數(shù)據(jù)中心的2至7層的防御架構(gòu),即可阻斷大流量DDoS攻擊。所以未來(lái)F5會(huì)與運(yùn)營(yíng)商合作,將更多力量放到云端,形成資源池,將大的流量引入資源池做清洗,然后將“干凈”的流量導(dǎo)向數(shù)據(jù)中心。
記者:隨著形勢(shì)的變化,安全的策略也發(fā)生了很大變化,F(xiàn)5都做了哪些應(yīng)對(duì)措施?
金飛:軟件的特點(diǎn)是升級(jí)很快,我們很多產(chǎn)品每年都會(huì)有版本升級(jí)。這實(shí)際上超出了很多用戶承受能力,因?yàn)榘踩c負(fù)載均衡是矛盾的,負(fù)載均衡要求穩(wěn)定,而安全需要經(jīng)常的維護(hù)。若無(wú)法理清二者的關(guān)系,將會(huì)給運(yùn)維帶來(lái)很大難題,因此F5要求盡量將負(fù)載均衡和安全區(qū)別對(duì)待。N