王永

應(yīng)用正在成為我們工作和生活不可或缺的一部分，無(wú)論是出行、支付、訂單、開會(huì)……這些都在用數(shù)字化的形式去取代傳統(tǒng)的消費(fèi)。此時(shí)企業(yè)業(yè)務(wù)的開展，以及工作內(nèi)容同樣也在發(fā)生著翻天覆地的變化，基于現(xiàn)代化應(yīng)用的數(shù)字化轉(zhuǎn)型已然變成企業(yè)必須要做的一件事情。

然而對(duì)于企業(yè)來(lái)講，數(shù)字化轉(zhuǎn)型也并非易事。比較明顯的一個(gè)趨勢(shì)是，企業(yè)的應(yīng)用數(shù)量進(jìn)入爆炸式增長(zhǎng)，IDC數(shù)據(jù)表明：從2019年到2025年，應(yīng)用數(shù)量至少有5倍的增長(zhǎng)，將達(dá)到48億。

隨之帶來(lái)的是，應(yīng)用之間如何保持安全平衡的問(wèn)題。因?yàn)槊總€(gè)應(yīng)用與應(yīng)用之間的調(diào)用關(guān)系，業(yè)務(wù)與業(yè)務(wù)之間訪問(wèn)的關(guān)系都造成了某一個(gè)安全的缺失，或者某一個(gè)應(yīng)用的故障或者安全被滲透，都會(huì)產(chǎn)生非常大的不良后果。如果應(yīng)用出現(xiàn)緩慢、客戶訪問(wèn)體驗(yàn)下降，這對(duì)企業(yè)來(lái)說(shuō)，都是致命的打擊。

另一方面，為更好地應(yīng)對(duì)應(yīng)用爆發(fā)式增長(zhǎng)，一定需要有底層的架構(gòu)來(lái)支撐應(yīng)用的運(yùn)行。所以為了能夠支撐應(yīng)用快速的進(jìn)行上線和發(fā)布，客戶在以前傳統(tǒng)用在數(shù)據(jù)中心層面的部署形式拓展到邊緣層，擴(kuò)展到公有云、容器云，甚至擴(kuò)展到CDN，快速的網(wǎng)絡(luò)交付等層面。此時(shí)，客戶安全架構(gòu)的體系能否提供一致的安全防護(hù)能力，這是一個(gè)非常巨大的挑戰(zhàn)。

此外，隨著進(jìn)入API經(jīng)濟(jì)時(shí)代，對(duì)于企業(yè)來(lái)講，通過(guò)API的接口和第三方互聯(lián)，無(wú)論數(shù)據(jù)還是客戶的行為習(xí)慣，都可以通過(guò)API的方式進(jìn)行獲取。有了API之后，因?yàn)榧夹g(shù)在發(fā)生著變化，底層的通訊協(xié)議在API的發(fā)展過(guò)程中發(fā)揮的作用非常大：比如基于IoT，設(shè)備和設(shè)備之間要用MQTT的協(xié)議通過(guò)API接口進(jìn)行互通；還有微服務(wù)之間采用gRPC的協(xié)議，通過(guò)API接口進(jìn)行互通等。

也就是說(shuō)，現(xiàn)有安全的防護(hù)能力是否能識(shí)別每一種API的傳輸協(xié)議，能否針對(duì)每一個(gè)安全API所提供出來(lái)的接口，實(shí)現(xiàn)可信、訪問(wèn)控制確保一個(gè)應(yīng)用或者一個(gè)企業(yè)的內(nèi)部已經(jīng)通過(guò)API接口被打得千瘡百孔之下，依然有一套特別好的防護(hù)體系，成為企業(yè)現(xiàn)代化應(yīng)用轉(zhuǎn)型的又一挑戰(zhàn)。

“從IDC的報(bào)告中可以看到，IT的投資因?yàn)閿?shù)字化的轉(zhuǎn)型在進(jìn)行加速，每年以5%的速度在增長(zhǎng)。其中安全投資的占比要遠(yuǎn)遠(yuǎn)大于IT投資的增長(zhǎng)速度?！?F5安全事業(yè)部總經(jīng)理兼金融及企業(yè)事業(yè)部技術(shù)總監(jiān)陳亮在接受筆者的采訪時(shí)表示，F(xiàn)5希望通過(guò)安全基因的擴(kuò)增，以及整體架構(gòu)的創(chuàng)新和服務(wù)，幫助客戶構(gòu)筑數(shù)字安全新防線。

事實(shí)上，F(xiàn)5從1996年出生起就具備了安全基因。彼時(shí)F5采用全代理的模式，一邊接客戶，一邊接應(yīng)用，所有的用戶之間傳遞的請(qǐng)求都要經(jīng)過(guò)F5進(jìn)行處理之后才會(huì)轉(zhuǎn)發(fā)給后臺(tái)的應(yīng)用。后臺(tái)的應(yīng)用返回的內(nèi)容也會(huì)經(jīng)過(guò)F5進(jìn)行層層的檢查，對(duì)敏感的信息進(jìn)行修改、隱藏，對(duì)于攻擊的行為都會(huì)進(jìn)行及時(shí)的阻斷，保證用戶的請(qǐng)求來(lái)回之間的安全。

“成立之初的F5主要是解決兩個(gè)問(wèn)題：一個(gè)是應(yīng)用大爆炸，所有和應(yīng)用相關(guān)，需要大流量、大并發(fā)、請(qǐng)求的場(chǎng)景；另一個(gè)是應(yīng)用安全?！标惲帘硎?，從2004年開始主攻WAF領(lǐng)域，如今的F5已經(jīng)成為基于Web應(yīng)用安全、DDoS防護(hù)、機(jī)器人識(shí)別以及API安全四位一體的WAAP領(lǐng)域的領(lǐng)導(dǎo)者，而且多年創(chuàng)新和對(duì)產(chǎn)品的打磨，也使得F5能夠在軟件化、邊緣云，以及所有公有云、私有云等環(huán)境中，無(wú)處不在。

基于能力的創(chuàng)新，F(xiàn)5的安全基因有了大幅度的擴(kuò)增：從應(yīng)用交付廠商成為應(yīng)用交付和應(yīng)用安全雙一流的廠商；通過(guò)收購(gòu)NGINX，讓F5整體的交付和安全，以及可靠性的能力拓展到各個(gè)應(yīng)用前端，也使得F5從原來(lái)的關(guān)注核心應(yīng)用變成所有的應(yīng)用都可以依賴于F5+NGINX進(jìn)行相應(yīng)的覆蓋；部署從數(shù)據(jù)中心內(nèi)部變成可以部署在私有云、公有云、容器云，甚至是邊緣云。采購(gòu)的模型從原來(lái)永久的采購(gòu)模型變成可訂閱的銷售模型，使得客戶在選用F5的時(shí)候更加的靈活，部署也更加靈活。

值得一提的是，2021年F5收購(gòu)了一家威脅檢測(cè)公司Threat Stack，主要負(fù)責(zé)在云工作負(fù)載層面，也就是安全領(lǐng)域CWPP，即Cloud Workload Protection Platform。F5將這一能力整合在整體安全防護(hù)體系之內(nèi)，使得在承載應(yīng)用的環(huán)境，也有了相應(yīng)的保護(hù)手段。網(wǎng)絡(luò)層F5具備DevOps防護(hù)墻、DevOps安全；數(shù)據(jù)傳輸層上面協(xié)議層面的合規(guī)性，F(xiàn)5也具備加解密能力；應(yīng)用層針對(duì)于WAF、API、BOT或者SSL VPN的安全接入等，F(xiàn)5從工作的負(fù)載層，一直到網(wǎng)絡(luò)層、數(shù)據(jù)層、應(yīng)用層，全棧的安全能力有了很好的提升。

“所有層面的安全技術(shù)，F(xiàn)5各個(gè)安全組件都可以用遙測(cè)的技術(shù)把所有的異常流量的信息傳遞給F5基于SaaS的服務(wù)平臺(tái)，通過(guò)人工智能和機(jī)器學(xué)習(xí)的手段分析遙測(cè)數(shù)據(jù)，做安全態(tài)勢(shì)感知的分析，告訴客戶是否存在攻擊的風(fēng)險(xiǎn)，而不簡(jiǎn)簡(jiǎn)單單只是做一個(gè)安全日志的傳送?！痹陉惲量磥?lái)，通過(guò)安全基因的擴(kuò)增，F(xiàn)5能夠?yàn)榭蛻籼峁╇S時(shí)隨地保護(hù)、交付、優(yōu)化任何應(yīng)用和API的能力，F(xiàn)5將其稱為“縱深防御、動(dòng)態(tài)對(duì)抗”的安全架構(gòu)。

縱深防御可以理解為，安全防護(hù)能力都可以部署在任何的位置，從用戶請(qǐng)求開始一直到后臺(tái)承載應(yīng)用運(yùn)行的每一個(gè)應(yīng)用，或者API的接口，所有能力都是縱深部署?？梢圆渴疬吘墝印⑦吘壘W(wǎng)絡(luò)、邊緣云，可以部署在客戶的網(wǎng)絡(luò)接入?yún)^(qū)，以及DMZ區(qū)或應(yīng)用接入?yún)^(qū)，每一個(gè)層面都是縱深進(jìn)行部署，層層進(jìn)行防御。

動(dòng)態(tài)對(duì)抗則可以在每一層面進(jìn)行部署F5安全服務(wù)的組件，將其中發(fā)現(xiàn)的安全訪問(wèn)的異常日志行為、異常的請(qǐng)求行為，以遙測(cè)的方式傳遞給”智慧的大腦“，進(jìn)行人工智能、機(jī)器學(xué)習(xí)的分析。同時(shí)這個(gè)能力也可以和客戶所建的本地?cái)?shù)據(jù)中心建立的智慧大腦平臺(tái)、大數(shù)據(jù)平臺(tái)、安全感知的平臺(tái)進(jìn)行聯(lián)動(dòng)，統(tǒng)一提供相應(yīng)的安全態(tài)勢(shì)感知和安全服務(wù)。

總體來(lái)看，在整體的安全架構(gòu)之下，F(xiàn)5可以為客戶提供八大價(jià)值：DNS安全，幫助客戶在多鏈路、兩地三中心以及多云多活的環(huán)境之下，基于F5的智能DNS做解析，引導(dǎo)客戶訪問(wèn)不同的入口和中心；DDoS的安全、海量的攻擊，基于云SaaS服務(wù)的云清洗，在客戶本地建立清洗服務(wù)中心，把安全流量或者大量DDoS流量進(jìn)行清洗；BOT的攻擊識(shí)別，介入大量的人工智能和機(jī)器學(xué)習(xí)的技術(shù)，真正的識(shí)別機(jī)器人；零信任接入，每個(gè)請(qǐng)求都會(huì)借助于零信任的理念，對(duì)身份進(jìn)行校驗(yàn)，行為進(jìn)行分析，對(duì)身份所具備的權(quán)限進(jìn)行授權(quán)管理，實(shí)現(xiàn)安全的接入的控制；提供安全即服務(wù)編排引擎，幫客戶將原有的安全網(wǎng)關(guān)設(shè)備從傳統(tǒng)一個(gè)“糖葫蘆串”的部署形式變成安全資源池化的部署形式；WAAP能力，集WAF WEB應(yīng)用安全、DDoS、BOT防護(hù)以及API防護(hù)四位一體，成為F5具備為客戶提供應(yīng)用層防護(hù)的整體能力；欺騙防御（蜜網(wǎng)），通過(guò)監(jiān)控手段識(shí)別潛在風(fēng)險(xiǎn)；動(dòng)態(tài)對(duì)抗，所有安全的組件通過(guò)遙測(cè)的技術(shù)分享給數(shù)據(jù)智慧的大腦，可以進(jìn)行相應(yīng)的分析。

寫在最后

在2023年，我們看到API技術(shù)被更多的企業(yè)使用，所以基于API的安全也變得尤其重要。

“對(duì)F5來(lái)講，我們將會(huì)在2023年主推API整體解決方案，以安全架構(gòu)為基礎(chǔ)，針對(duì)于API安全可信訪問(wèn)做大量的方案整合?！标惲镣嘎叮瑹o(wú)論是外部的API請(qǐng)求和內(nèi)部的API調(diào)用，都可以從四個(gè)方面：接入控制、零信任訪問(wèn)授權(quán)、網(wǎng)絡(luò)層面的安全以及應(yīng)用層面的安全，一層一層的進(jìn)行過(guò)濾，包括識(shí)別和防護(hù)，來(lái)保證享受API經(jīng)濟(jì)的同時(shí)，保證每一筆API請(qǐng)求的安全性。