王永

應(yīng)用正在成為我們工作和生活不可或缺的一部分，無論是出行、支付、訂單、開會……這些都在用數(shù)字化的形式去取代傳統(tǒng)的消費。此時企業(yè)業(yè)務(wù)的開展，以及工作內(nèi)容同樣也在發(fā)生著翻天覆地的變化，基于現(xiàn)代化應(yīng)用的數(shù)字化轉(zhuǎn)型已然變成企業(yè)必須要做的一件事情。

然而對于企業(yè)來講，數(shù)字化轉(zhuǎn)型也并非易事。比較明顯的一個趨勢是，企業(yè)的應(yīng)用數(shù)量進(jìn)入爆炸式增長，IDC數(shù)據(jù)表明：從2019年到2025年，應(yīng)用數(shù)量至少有5倍的增長，將達(dá)到48億。

隨之帶來的是，應(yīng)用之間如何保持安全平衡的問題。因為每個應(yīng)用與應(yīng)用之間的調(diào)用關(guān)系，業(yè)務(wù)與業(yè)務(wù)之間訪問的關(guān)系都造成了某一個安全的缺失，或者某一個應(yīng)用的故障或者安全被滲透，都會產(chǎn)生非常大的不良后果。如果應(yīng)用出現(xiàn)緩慢、客戶訪問體驗下降，這對企業(yè)來說，都是致命的打擊。

另一方面，為更好地應(yīng)對應(yīng)用爆發(fā)式增長，一定需要有底層的架構(gòu)來支撐應(yīng)用的運行。所以為了能夠支撐應(yīng)用快速的進(jìn)行上線和發(fā)布，客戶在以前傳統(tǒng)用在數(shù)據(jù)中心層面的部署形式拓展到邊緣層，擴展到公有云、容器云，甚至擴展到CDN，快速的網(wǎng)絡(luò)交付等層面。此時，客戶安全架構(gòu)的體系能否提供一致的安全防護(hù)能力，這是一個非常巨大的挑戰(zhàn)。

此外，隨著進(jìn)入API經(jīng)濟時代，對于企業(yè)來講，通過API的接口和第三方互聯(lián)，無論數(shù)據(jù)還是客戶的行為習(xí)慣，都可以通過API的方式進(jìn)行獲取。有了API之后，因為技術(shù)在發(fā)生著變化，底層的通訊協(xié)議在API的發(fā)展過程中發(fā)揮的作用非常大：比如基于IoT，設(shè)備和設(shè)備之間要用MQTT的協(xié)議通過API接口進(jìn)行互通；還有微服務(wù)之間采用gRPC的協(xié)議，通過API接口進(jìn)行互通等。

也就是說，現(xiàn)有安全的防護(hù)能力是否能識別每一種API的傳輸協(xié)議，能否針對每一個安全API所提供出來的接口，實現(xiàn)可信、訪問控制確保一個應(yīng)用或者一個企業(yè)的內(nèi)部已經(jīng)通過API接口被打得千瘡百孔之下，依然有一套特別好的防護(hù)體系，成為企業(yè)現(xiàn)代化應(yīng)用轉(zhuǎn)型的又一挑戰(zhàn)。

“從IDC的報告中可以看到，IT的投資因為數(shù)字化的轉(zhuǎn)型在進(jìn)行加速，每年以5%的速度在增長。其中安全投資的占比要遠(yuǎn)遠(yuǎn)大于IT投資的增長速度?！?F5安全事業(yè)部總經(jīng)理兼金融及企業(yè)事業(yè)部技術(shù)總監(jiān)陳亮在接受筆者的采訪時表示，F(xiàn)5希望通過安全基因的擴增，以及整體架構(gòu)的創(chuàng)新和服務(wù)，幫助客戶構(gòu)筑數(shù)字安全新防線。

事實上，F(xiàn)5從1996年出生起就具備了安全基因。彼時F5采用全代理的模式，一邊接客戶，一邊接應(yīng)用，所有的用戶之間傳遞的請求都要經(jīng)過F5進(jìn)行處理之后才會轉(zhuǎn)發(fā)給后臺的應(yīng)用。后臺的應(yīng)用返回的內(nèi)容也會經(jīng)過F5進(jìn)行層層的檢查，對敏感的信息進(jìn)行修改、隱藏，對于攻擊的行為都會進(jìn)行及時的阻斷，保證用戶的請求來回之間的安全。

“成立之初的F5主要是解決兩個問題：一個是應(yīng)用大爆炸，所有和應(yīng)用相關(guān)，需要大流量、大并發(fā)、請求的場景；另一個是應(yīng)用安全?！标惲帘硎荆瑥?004年開始主攻WAF領(lǐng)域，如今的F5已經(jīng)成為基于Web應(yīng)用安全、DDoS防護(hù)、機器人識別以及API安全四位一體的WAAP領(lǐng)域的領(lǐng)導(dǎo)者，而且多年創(chuàng)新和對產(chǎn)品的打磨，也使得F5能夠在軟件化、邊緣云，以及所有公有云、私有云等環(huán)境中，無處不在。

基于能力的創(chuàng)新，F(xiàn)5的安全基因有了大幅度的擴增：從應(yīng)用交付廠商成為應(yīng)用交付和應(yīng)用安全雙一流的廠商；通過收購NGINX，讓F5整體的交付和安全，以及可靠性的能力拓展到各個應(yīng)用前端，也使得F5從原來的關(guān)注核心應(yīng)用變成所有的應(yīng)用都可以依賴于F5+NGINX進(jìn)行相應(yīng)的覆蓋；部署從數(shù)據(jù)中心內(nèi)部變成可以部署在私有云、公有云、容器云，甚至是邊緣云。采購的模型從原來永久的采購模型變成可訂閱的銷售模型，使得客戶在選用F5的時候更加的靈活，部署也更加靈活。

值得一提的是，2021年F5收購了一家威脅檢測公司Threat Stack，主要負(fù)責(zé)在云工作負(fù)載層面，也就是安全領(lǐng)域CWPP，即Cloud Workload Protection Platform。F5將這一能力整合在整體安全防護(hù)體系之內(nèi)，使得在承載應(yīng)用的環(huán)境，也有了相應(yīng)的保護(hù)手段。網(wǎng)絡(luò)層F5具備DevOps防護(hù)墻、DevOps安全；數(shù)據(jù)傳輸層上面協(xié)議層面的合規(guī)性，F(xiàn)5也具備加解密能力；應(yīng)用層針對于WAF、API、BOT或者SSL VPN的安全接入等，F(xiàn)5從工作的負(fù)載層，一直到網(wǎng)絡(luò)層、數(shù)據(jù)層、應(yīng)用層，全棧的安全能力有了很好的提升。

“所有層面的安全技術(shù)，F(xiàn)5各個安全組件都可以用遙測的技術(shù)把所有的異常流量的信息傳遞給F5基于SaaS的服務(wù)平臺，通過人工智能和機器學(xué)習(xí)的手段分析遙測數(shù)據(jù)，做安全態(tài)勢感知的分析，告訴客戶是否存在攻擊的風(fēng)險，而不簡簡單單只是做一個安全日志的傳送?！痹陉惲量磥?，通過安全基因的擴增，F(xiàn)5能夠為客戶提供隨時隨地保護(hù)、交付、優(yōu)化任何應(yīng)用和API的能力，F(xiàn)5將其稱為“縱深防御、動態(tài)對抗”的安全架構(gòu)。

縱深防御可以理解為，安全防護(hù)能力都可以部署在任何的位置，從用戶請求開始一直到后臺承載應(yīng)用運行的每一個應(yīng)用，或者API的接口，所有能力都是縱深部署?？梢圆渴疬吘墝印⑦吘壘W(wǎng)絡(luò)、邊緣云，可以部署在客戶的網(wǎng)絡(luò)接入?yún)^(qū)，以及DMZ區(qū)或應(yīng)用接入?yún)^(qū)，每一個層面都是縱深進(jìn)行部署，層層進(jìn)行防御。

動態(tài)對抗則可以在每一層面進(jìn)行部署F5安全服務(wù)的組件，將其中發(fā)現(xiàn)的安全訪問的異常日志行為、異常的請求行為，以遙測的方式傳遞給”智慧的大腦“，進(jìn)行人工智能、機器學(xué)習(xí)的分析。同時這個能力也可以和客戶所建的本地數(shù)據(jù)中心建立的智慧大腦平臺、大數(shù)據(jù)平臺、安全感知的平臺進(jìn)行聯(lián)動，統(tǒng)一提供相應(yīng)的安全態(tài)勢感知和安全服務(wù)。

總體來看，在整體的安全架構(gòu)之下，F(xiàn)5可以為客戶提供八大價值：DNS安全，幫助客戶在多鏈路、兩地三中心以及多云多活的環(huán)境之下，基于F5的智能DNS做解析，引導(dǎo)客戶訪問不同的入口和中心；DDoS的安全、海量的攻擊，基于云SaaS服務(wù)的云清洗，在客戶本地建立清洗服務(wù)中心，把安全流量或者大量DDoS流量進(jìn)行清洗；BOT的攻擊識別，介入大量的人工智能和機器學(xué)習(xí)的技術(shù)，真正的識別機器人；零信任接入，每個請求都會借助于零信任的理念，對身份進(jìn)行校驗，行為進(jìn)行分析，對身份所具備的權(quán)限進(jìn)行授權(quán)管理，實現(xiàn)安全的接入的控制；提供安全即服務(wù)編排引擎，幫客戶將原有的安全網(wǎng)關(guān)設(shè)備從傳統(tǒng)一個“糖葫蘆串”的部署形式變成安全資源池化的部署形式；WAAP能力，集WAF WEB應(yīng)用安全、DDoS、BOT防護(hù)以及API防護(hù)四位一體，成為F5具備為客戶提供應(yīng)用層防護(hù)的整體能力；欺騙防御（蜜網(wǎng)），通過監(jiān)控手段識別潛在風(fēng)險；動態(tài)對抗，所有安全的組件通過遙測的技術(shù)分享給數(shù)據(jù)智慧的大腦，可以進(jìn)行相應(yīng)的分析。

寫在最后

在2023年，我們看到API技術(shù)被更多的企業(yè)使用，所以基于API的安全也變得尤其重要。

“對F5來講，我們將會在2023年主推API整體解決方案，以安全架構(gòu)為基礎(chǔ)，針對于API安全可信訪問做大量的方案整合?！标惲镣嘎?，無論是外部的API請求和內(nèi)部的API調(diào)用，都可以從四個方面：接入控制、零信任訪問授權(quán)、網(wǎng)絡(luò)層面的安全以及應(yīng)用層面的安全，一層一層的進(jìn)行過濾，包括識別和防護(hù)，來保證享受API經(jīng)濟的同時，保證每一筆API請求的安全性。