2022年3月,随着东数西算工程落地,我国一体化大数据中心体系完成总体布局设计,标志着我国数字化转型进入了全面阶段。北京、浙江、山东、河南、四川等多省份在今年的地方《政府工作报告》中提出,要加快发展数字经济,并提出量化指标。
数字化赋予了企业全新的动力,也让企业中的应用迅猛增长,越来越多的业务开始走上云端,变的更加高效和便捷。
但是,应用爆炸式增长,以及基于API的访问形式,给企业安全带来了严峻挑战。一方面,传统的网络安全边界正在逐渐消失,自动化攻击使得传统安全体系捉襟见肘;另一方面,企业暴露在互联网上的攻击面也越来越多,可被利用的漏洞数量也在不断增长,网络攻击给企业带来的实际损失也越来越庞大,甚至可以决定其生死。
如何有有效减轻应用激增的压力,缓解企业网络安全风险,让企业的数字化转型安然进行,是企业需要解决的问题。安全是数字化的基础,安全不牢固,数字化成果就无法保障。
在这样的背景下,2022年F5多云应用服务科技峰会盛大召开。本次大会以“云无边界,架构未来”为主题,向所有观众描绘了一幅在数字化转型的大潮中,F5助推企业有效应对多云应用安全和应用交付挑战的蓝图。
会后,FreeBuf特邀F5中国区安全事业部总经理陈亮进行专访。采访中,陈亮表示,所谓“无边界”是指多个方面:一是技术无边界,二是访问无边界,三是API请求造成应用之间无边界。
陈亮,F5中国区安全事业部总经理,在近20年的IT生涯中,历经负载均衡、应用交付、应用安全到当前基于云计算、大数据、人工智能等技术的演变,积累了丰富的理论与实践相结合的经验。在他看来,应用安全高一切。多数企业目前正处于数字化转型的关键阶段,其中会涉及大量的安全问题,应用与安全直接关系着企业的核心业务。
“边界正在逐渐消失,应用正在爆发式出现。”
随着我国疫情防控形势的反复和数字化转型的加速,促使我国企业以更快的速度进行数字化转型,大量的传统业务走到了线上。
陈亮认为,数字化转型导致传统的各种边界正在缓缓消失,彼此交融、相互联动成为未来新的发展趋势。这既给企业带来了全新的应用和业务场景,也带来了相应的挑战:当边界消失的时候,传统的安全体系出现了新的缺口。
与此同时,应用也正在爆发式出现。
近年来,大多数人想必已经感受到:应用变的越来越多,相对应手机的内存容量也在不断增加。以苹果手机为例,其内存从最早的16GB增加到64GB,iPhone13的最低版本直接跳到128GB,最高可以选择超大的1TB容量。
企业方面又何尝不是如此?随着业务走到线上,应用也开始爆发式增加,并成为内容交付的主要方式。据IDC2021年发布的报告数据显示,2019年,全世界应用数量达到10亿个,到2025年,预计这个数字将增长5倍,达到近50亿的规模,应用的世界已经爆发。随着人们的生活越来越依赖应用,应用安全也成为了生活方式的核心根本。
陈亮表示,和传统应用不同的是,现代应用的一个显著要求就是“快”,快速上线,快速迭代。因此现代应用正在从虚拟化向容器化、微服务化转变,从而使得迭代的速度更快,有的甚至提供无服务架构,只需一个代码调用即可,以API的形式进行访问、连接也就变成了最普遍的一种形式。
此外,随着多云和混合云架构的普及,越来越多的企业开始真正感受到应用部署性能提升所带来的好处,但是应用架构与应用环境的复杂程度和面临风险也在逐渐攀升,给企业应用安全带来了严重的挑战。
因此,在陈亮看来,应用安全至少存在以下六大挑战:
1、应用快速式迭代,但安全防护策略滞后。随着应用部署时间从原来的月、周逐渐缩短至日、时甚至是秒,大量的传统安全策略根本无法跟上如此快速节奏,因此往往拖累应用发布速度。
2、应用无处不在,安全策略很难达成一致。多云架构的出现使得应用无处不在,但传统数据中心、公有云、容器云上部署的安全策略却存在明显差异,很难达到一致的安全防护要求。
3、机器人自动和欺诈攻击难以防范。随着网络攻击的趋利性日益强烈,越来越多的黑客使用利用人工智能、机器人自动进行攻击,企业防不胜防,时刻处于威胁之中。
4、传统应用和现代应用并存。在数字化转型的过程中,企业不可能将原有应用全部推倒重来,因此就出现了大量应用并存的情况,而这直接增加了企业安全的防护难度。
5、管理和防护API的风险成新挑战。通过API的形式进行连接、调用已经成为较为普遍的方式,企业如何管理、防护API的风险成为一项非常大的挑战。
6、开源创新危机四伏。开源技术正在被广泛应用于金融、互联网等多个行业,开源安全性成为一大难题。此前出现的出现的Log4j和Spring RCE两大重磅漏洞给企业安全带来了严重的威胁。
可以预见的是,未来开源还将被继续广泛使用,因此针对开源出现的网络攻击威胁也将变的更加严重。
“安全是企业的生命线”,采访中陈亮表示,“基于以上六大安全挑战,企业必须要思考如何缓解企业的网络安全风险,如何保障企业线上业务不受干扰,促进数字化转型安全进行是企业目前需要解决的问题。”
面对爆炸式出现的应用和安全风险,F5提出“感知可控,随需而变”的观点,围绕着企业数字化转型和业务发展,不断简化应用交付部署,强化整体安全防护。
针对应用激增问题,F5提出分布式云架构,可大大增加应有的拓展性和可交付性,满足现代应有的高性能和高弹性的要求。F5在应用部署方面更加强调自动化,此举不仅提高安全性,也大大简化了应用部署的工作。
同时,陈亮表示,近年来F5一直在推广API优先的策略公司,完全有能力通过API的形式进行调用,加快应用部署,实现跨环境应用交付策略的统一,并通过这种端到端的交付平台,有效管理应用,缓解应用激增的压力。
针对安全风险方面,采访中陈亮重点分享了“F5全数据通路安全防护架构”,为企业用户提供以下六大安全能力。
1、可信应用访问的能力。目前企业环境已经发生巨大变化,物联网、手机终端、互联网等并存,企业很难定义类型。因此企业更需要一个可信应用访问的能力来进行人机识别,防欺诈/防撞库,同时也有授信访问,实现可信安全地访问后台应用。
2、增强基础架构安全的能力。应用大爆炸带来大量的用户请求,更多的线下流量转为线上,因此对企业基础架构的安全处理能力有了更高的要求。在增强基础架构安全方面,F5可提供DDOS清洗,南北/东西流量边界安全服务,不再以数据中心作为边界,而是从应用视角出发重新定义了新边界。此外还有DNS安全加固等服务,针对纵深的DNS防护安全架构,提出了新的理念。
3.流量可视与精分的能力。安全是一个复杂的工程,涉及数据安全、应用安全等多个领域,想要将安全技术联动起来,就需要充分发挥网关的能力。但如何解决部署、拓展困难,网关出现故障后流量中断的问题成为企业面临的挑战。
F5针对SSL流量精分和可视流量具备灵活调度的能力,可将所有安全网关以资源池或安全域的形式进行旁路部署,并对流量进行编排、解密和可视,这样安全网关设备分级处理就可以进行调配、分流,极大提高安全的互相协调和可拓展的能力。
4.WEB应用与API安全的能力。众所周知,传统的WAF正在逐渐消亡,Gartner曾提出WAAP防护架构理念,其中包含了WEB应用,API防护,DDoS和Bots四位一体的防护能力。F5已具备这四种能力,并通过多云环境统一的应用安全,实现不同的环境下统一的安全策略调配,以此发挥更大的作用。
同时,也可以更好地整合企业现有的安全能力,例如将传统的WAF服务和WAAP架构并存,强化安全能力。WAAP也可做成按需的形式,既提高安全性,也提高访问的效率;或将WAAP的能力移植在边缘环境、云环境里面进行使用等。
5.可信开源的能力。针对开源技术的安全问题,F5在大会上正式发布NGINX企阅版(NGINX OSSub),既可以保障开源的灵敏性,又满足屏蔽风险的要求,实现可信开源的目标,具体将在后面详细叙述。
6、大数据与AI智能的能力。企业中所有应用、终端的信息最后都可以传递给F5的大脑,也可以传递给企业自建的大数据分析平台,以实现更好的安全洞察,实现自动化策略的下发,防欺诈的智能识别,提升用户的访问体验等。因此,从端到端数据层面的处理,再到大数据、人工智能、机器学习的结合,可以极大发挥出数据的价值,把自动化、人工智能、智能化的分析融入到整体的解决方案当中。
最后,陈亮表示,当所有的能力聚合在一起时,F5作为一个多云应用网络安全,应用交付的厂商,全面助力企业实现随时随地的保护、交付,并优化任何应用和API,有效应对日渐严峻的应用激增所带来的安全风险。
在2022年多云应用服务科技峰会上,F5正式发布了可信开源平台——NGINX企阅版(NGINX OSSub),以此规避使用开源产品面临的风险。这引起了业内人士的重点关注,倘若可有效解决开源的安全问题,那么开源将会迎来增加宽阔的应用前景。
采访中,笔者就“NGINX企阅版(NGINX OSSub)的安全性”进行提问,对此陈亮表示,作为全球最受欢迎的开源项目之一,全球有超过4亿个域名使用NGINX为载体,超过80%的互联网流量经过NGINX,全球超过500万K8s入口控制器使用NGINX,在进行开源治理方面发挥着重要作用。
而在NGINX社区版的基础上,F5联合合作伙伴共同推出了NGINX企阅版(NGINX OSSub),保证了自身产品时可信的。目前,NGINX企阅版已经通过了信通院下发的可信开源项目的测试,满足可信开源的要求,可避免相应的安全漏洞或安全的风险。
事实上,开源技术的安全性一直是开源广泛应用最大的障碍,且随着开源技术的大量应用,安全风险直线上升,已经威胁到产业生态的发展。
2021年10月,人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布了《关于规范金融业开源技术应用与发展的意见》,并指出金融机构可以根据开源技术使用情况,建立开源技术应用台账,及时掌握开源许可证变更、漏洞、闭源、停服等变化情况,实行常态化管理,规避风险。
基于此,NGINX企阅版(NGINX OSSub)可为企业提供可信的开源技术更加符合企业的需求。陈亮表示,NGINX企阅版(NGINX OSSub)已经从烟囱式转向平台化,将所有的开源产品以中台的方式进行管理,从而对其进行梳理,进行安全风险评估,规范使用。
值得一提的是,企业可以以NGINX作为起点,搭建一个统一的中台,将所有不同的软件开发商、不同的项目组,部署在不同位置的NGINX进行统一的管理。F5提供一个统一的Portal,企业可根据自身的实际情况进行资源的申请。这意味着,当NGINX企阅版(NGINX OSSub)部署完成后,即便不是NGINX的开源技术同样可以管理起来,真正做到可信使用。
在安全响应方面,F5安全团队还将提供专业的顾问服务,包括故障现场排查,重保现场值守,驻场工程师等,在出现安全风险时可第一时间进行应急响应。
采访中,陈亮表示,F5一直在紧紧跟着全球技术的发展趋势。在当下应用激增和应用风险上升的双重压力下,对于F5来说既是挑战,更是一个非常好的机遇。
多年来,F5一直在收购其他优秀的企业,也一直在积极地转型,为企业用户提供更好、更具前瞻性的解决方案。例如为了强化容器化安全和开源,F5收购了NGINX;为了自动化的安全策略,F5收购了Shape;为了强化边缘计算,F5又收购了Volterra,将所有的安全能力、交付能力从数据中心迁移至分布式云......
陈亮认为,随着技术的演讲和发展,应用交付和安全正在发生翻天覆地的变化,因此企业也必须要随之变化和转型。这也是F5一直积极转型,积极收购相关企业的原因。
未来,F5依旧将致力于通过先进的技术和方案不断升级,持续创新和迭代,立足国内市场发展和实际需求,为企业提供更具前瞻性的服务。正如在4月20日峰会上发布的安全战略一样:拥抱开源,拥抱本地化,拥抱数字创新。