/ 中存储网

F5安全能力进阶:新架构进行Per-Page保护与API安全

2018-07-18 19:24:03 来源:ChinaStor

“无论应用在何处运行,都可以帮助NetOps、SecOps和应用开发团队为每个应用部署一致的、适当规模的应用服务。并且在‘多云’环境下,通过对应用进行实时的嗅探与管理,为多云环境提供更加智能的应用服务解决方案”。到今天,ADC的发明者F5提供了业界独一无二的应用服务方案。

其实对应用有深刻理解的F5除了提供独特的应用服务外,还有独一无二的安全。“应用到哪里我们的防御就到哪里,F5提供了端到端面向应用的整体安全解决方案。”F5亚太区安全解决方案架构师金飞说。

F5安全能力进阶:新架构进行Per-Page保护与API安全

F5亚太区安全解决方案架构师金飞

毫无疑问,应用已经成了绝大部分攻击的首要目标,任何应用都可能成为网络威胁的载体。这也就给了F5机会,去年F5 Web应用防火墙 (WAF) 进入Gartner高德纳领导者象限,这得益于F5在保护应用免遭威胁上的出色表现。

如今,随着F5发布新一代F5 Advanced WAF解决方案,针对日趋复杂的应用威胁,F5的应用安全能力又提升了一个新的台阶。

F5 Advanced WAF提供Per-Page保护与API安全

“F5 Advanced WAF提供了一种从攻击视角做防御的机制,假如企业应用有100个页面,但是对攻击来说最有用的页面都不会超过3、5个,比如登录页面、交易页面、客户信息页面等。F5提供了新的Data Safe功能,通过把这几个常攻击页面的流量单独剥离出来,对其访问流量进行定制化、具象化的保护,从而提供个性化的体验。”金飞在接受至顶网采访时表示。

F5安全能力进阶:新架构进行Per-Page保护与API安全

这意味着有别于传统WAF作为流量型产品对全部页面或流量进行防护,F5只对黑客感兴趣的应用页面进行特殊的区别化保护,而额外的“97个页面”采用一般性策略处理,这时应用的体验得到大幅提升,同时不会牺牲安全性。

此外,在API泛化的今天,F5 Advanced WAF提供了单独的API防御模块。越来越多的应用通过API调用,API的可用性直接决定了应用可用性。然而API泛化带来了越来越多的攻击行为,在几个月前的BINANCE事件中,黑客就是在获取用户账号后,自动创建交易API,从而进行的一系列数字货币盗取操作。金飞指出,“从API安全来看,防御变得越来越具象,越来越贴近代码层和开发语言环境,这也就是SecOps的理念。”

F5发现了这一趋势,总体看来安全防御会向两个方向演进,“一种是实现高能力的防御架构,例如一块板子达到100G性能的单板能力;另一种趋向是应用层防御的小型化,例如为某一个页面单独配一个WAF。”金飞说,F5即将要发布Advanced WAF的CE版本,它只有25M的细粒度,也许很多人觉得25M的WAF非常滑稽,实际上站在应用页面的视角它却足够Powerful。

F5安全能力进阶:新架构进行Per-Page保护与API安全

F5曾经提出Per-App VE的理念,现在F5把这一理念扩展开来,也就是实现Per-Page WAF,给每一个页面配一个小的WAF,更为具象化。在F5看来,未来要把安全策略放在不同的应用前端,以虚拟化的形式实现,安全一定是差异化的,安全策略也一定是差异化的,因为每个应用的安全级别需要不一样。

此外在多云方面,Advanced WAF允许F5的客户既能为多个云—私有云和公有云—平台提供基本的应用安全服务,也能通过微服务和容器等方式提升服务的便捷性。基于自动化安全策略,该安全方案还能提供基于AWS、Google、Azure环境的云模版,进一步缩短新应用的部署时间。

AI安全与F5的感知安全架构

在对应用的保护中,对于越来越热的AI技术,F5也引入了其能力。例如利用机器学习通过对业务流量的学习来判断对的和正常流量,通过机器学习来得到攻击流量和行为的动态特征。“其实正常人的访问行为模型是非常容易标准化和提炼出来的,攻击的行为和正常的用户访问行为截然不同。F5的防御体系里面有这种模型抽取能力,可以对非正常的模型产生告警和阻断行为。”金飞指出。

不过,在F5的防御机制和体系中,F5对于AI的引入视为锦上添花而不是唯一。在金飞看来,AI并不能真正帮助在短时对抗中的胜算,所以对于实时对抗的安全架构来说,机器学习实际上是个辅助。“F5对应用的理解是最深刻的,可以说对应用的参数描述最全面。一旦应用出现了问题,F5马上就能够感知并立即行动,但是却可以不用大量去学习去感知。因为F5离应用最近,所以采取的行动也最直接有效。”

F5提供了一个有感知能力的防御架构,也就是能够容易感知前端的行为是一个正常访问还是一个恶意软件。

“在这其中,F5的优势在于应用交付和安全融合在一起,这是跟别人最大的不同,可能对于其他厂商来说怎么把流量引入一个防御架构再让它回到服务器,这是一件需要厂商协作的事情,但是对于F5来讲,完全可以在自己内部解决。”金飞说。

小结

总体看来,得益于对应用的深刻理解,F5不断扩展安全解决方案,从WAF到DDoS防护,从SSL可视化再到身份认证和访问管理,从互联网到云再到如今的物联网安全,F5提供了一种面向应用的端到端安全解决方案,从而保护应用及其背后的数据。

并且,F5还正在联合合作伙伴,将安全能力赋予到更多的空间,就像金飞所说,安全产品会越来越专业,而越来越专业的结果就是它越来越复杂难用。F5致力于帮助用户简化安全,例如把F5安全作为一项能力植入伙伴或用户的基础设施中,通过后者的SOC平台或管理平台来控制F5功能的打开或关闭,以及策略下发等,从而提供专业安全产品的易用性。-

并且F5在日前召开“2018 F5中国应用服务高峰论坛”上承诺,将在北京建立测试研发中心、在中国发展本地人才、提供适合中国市场的全新解决方案,这对于F5的粉丝来说是一个福音。