专访F5陈亮:一场“以人为本”的应用安全防护战 – 作者:Sandra1432

对于企业而言,数字化转型将是一场持久战。

2020年5月, F5发布的《2020年应用服务状况报告(亚太版)》显示,有大量企业部署超过1000个应用程序。数量的增加也意味着,企业客户对应用服务管理的要求也在不断提高。

从传统IT架构到多云混合环境,从传统IT运维到自动化运维,从传统安全防护到云环境下的安全保障,技术的发展和应用环境的变化,都在改变着企业应用服务管理。

那么,在这个过程中面临的应用安全该如何防护?有着十余载深厚经验的“应用交付老兵”,F5中国区金融事业部技术总监兼安全事业部副总经理陈亮,将和我们一起来探讨这个问题。

1619317412_6084d2a458e3a000fdac6.png!small

陈亮,F5中国区金融事业部技术总监兼安全事业部副总经理。在接近20年的IT生涯中,历经负载均衡、应用交付、应用安全到当前基于云计算、大数据、人工智能等技术的演变,积累了丰富的理论与实践相结合的经验。并成功的带领技术团队帮助众多金融行业客户,在数字化转型过程中,充分发挥金融科技的力量,应对安全风险,实现业务创新,稳定过渡,构建更安全、 更灵捷、更可靠的新一代IT架构。

都说这是一个“百年未有之大变局”的时代,数字化、信息化不断地在席卷每一个企业,每一个人。与此同时,应用部署越来越广泛,转变越来越迅速。然而,谈应用不谈安全,无疑是“戴着镣铐跳舞”。

随着多云和混合云架构的普及,越来越多的企业开始真正感受到应用部署性能提升所带来的好处,但是应用架构与应用环境的复杂程度和面临风险也在逐渐攀升。

在陈亮看来,应用安全如今正面临着三大挑战:

1、安全防护效率受限

企业如今多为稳态和敏态应用的组合,在不同的架构或混合的架构中运行并且快速迭代和发布。然而,在发布的过程中,应用和网关设备之间存在时间差,无法实时采集数据。

在这个过程中,应用运行和发布敏捷,但是涉及到的网关等安全设备依旧是人为操作,因此,安全防护延迟,不够高效。应用受限于传统安全管理的方式,需要等待安全策略的生效才能让互联网用户提交请求。

2、攻击面扩大,流量安全防护难

如今应用转变迅捷,敏态架构更多地应用于微服务或者云化的架构,这也让数字资产激增,以往的资产部署只需要一年或者几个月的时间,可是现在微服务、云化等几秒钟就能拉起一个应用。

这也意味着互联网的攻击面在不断扩大,黑客将获得更多的攻击机会。随着东西向流量请求增加,传统的安全防护“大门”无法有效应对威胁,因为一旦流量“窜门”,安全防护失效,黑客将有可趁之机。

3、安全缺乏可视化管理,难以监控

难以未雨绸缪地感知安全威胁便很难做到真正的防护。企业可以利用AI和机器学习技术,更加智能化地实施监控、发现攻击手段,管理安全策略。从根本上来说,智能化地进行安全管理和策略制定,最终还是落在了“以人为本”上。

站在“人”的角度提供应用安全解决方案

对于F5而言,挑战即机遇。在“以人为本”上,F5抓住了机遇。

在2020年5月F5中国20周年纪念庆典上,F5提出开启“从代码到用户”的全新架构基础。在2020年12月,F5又提出“感知可控,随需而变的应用”的新理念。

针对以上三个挑战,F5有自己的想法和做法。首先,“感知可控,随需而变的应用”理念是建立在流数据的基础上,而传统的数据采集技术大多非实时。其次,打造随应用而动,那么相应的安全防护也会生效。最后,一条全数据通路可以帮助客户将安全威胁、请求信息同步到数据中心,并进行处理,真正做到安全可视化管理。

F5又通过先后收购NGINX、安全公司Shape,引入NGINX的开源能力以及Shape的AI在感知可控中的能力,构建一个大数据平台,能够对于应用做AI判断,实现更深入的自动化洞察,最后通过API接口去控制所有代码到客户的每一级灰度发布,让系统真正开始变得智能。

“代码到用户”主要侧重阐述的是F5的能力,能够为客户提供覆盖应用服务流程所有环节的服务能力。而“感知可控,随需而变的应用”则是站在“人”的角度,侧重于F5能够给客户带来怎样与众不同的应用服务。

陈亮认为,“理念+技术,才能更加智能化地感知威胁、分析数据,提升应用的智能性,进行自我调整和自我修复,规避安全风险,改善安全运营。”

以人为本的“1241”安全布局

冰冻三尺,非一日之寒。时隔半年F5就提出这种理念,实际上也离不开F5”以人为本”的安全布局。

F5作为多云应用服务厂商,始终从“以人为本”的安全理念出发并进行安全市场布局。的确,没有一家安全厂商是可以完全覆盖用户的安全问题的。因此,F5的定位是十分清晰的,即“以应用为先”,保护应用安全。

在陈亮看来,F5的安全布局可以总结为“1241”。

“1”即一条全数据通路保护通道

从代码的生成、测试、验证,发布,持续集成、持续发布之后,对应的安全设备就要做安全的防护、策略的调整,这是一条整体的全数据通路保护通道。

“2”即两种架构

企业进行架构转型,从传统数据中心到分布式、云化的数据中心的过程中,会出现稳态的IT架构和敏态的IT架构,即两种架构形式。

“4”即四个环节

该布局主要是关注用户在这四个环节中遇到的一些安全问题:

(1)流量清洗,利用天网和地网协力保障。天网即在云厂商或者CDN厂商进行安全防护,地网即在客户架构中提供应用安全防护手段,协同两者防护恶意流量。

(2)可信防护。进入天网,在本地技术中心/云服务数据中心进行身份验证。进入地网后,利用人工智能、机器学习等技术来对访问者识别、认证、授权以及监控。

(3)流量精分。在全数据通路保护过程中,F5对通过不同的安全设备的流量进行处理。类似于合纵连横的架构,对客户现有的安全产品、网关设备进行编排,针对不同的位置,进行更合适和有效的处理。

(4)应用层安全防护。最后一个环节,流量进入到应用层的时候,通过高级WAF、云原生WAF等设备进行最终的应用层防护。

“1”即一个安全运营服务体系

陈亮表示,最后还是要打造一个不断完善的安全运营服务体系,合适的技术需要匹配合适的人员,因为所有的技术都离不开人。技术和人如何用、怎么用,都是安全运营的重要一环。

扎根金融领域,让攻防常态化

当数据安全建设撞上企业的业务,则往往很让人头疼。二者如何平衡,使很多人踯躅不前。对于这个问题陈亮给出了自己的看法,“业务连续性是第一优先级。如果出现了安全问题,业务则就不连续。这不是一个二选一的过程,而是互相包含的关系。”

1619317635_6084d3838c910db61be92.png!small?1619317637163

作为深耕金融行业的老兵,陈亮对金融行业的安全防护有着丰富的经验。金融机构对于业务安全、应用安全和数据安全是十分重视的,同时监管机构对企业如何使用数据有非常严格的规范和要求。在2020年9月,中国人民银行正式印发《金融数据安全数据安全分级指南》,根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别由高到低划分为五级。

然而,目前随着应用的变化,攻击手段也在不断变化。因此,威胁反过来不断地促进金融机构提升安全能力,这是一个螺旋式上升的过程,也是一个不断修复和防护安全能力提升的过程。

近两年,在安全对抗的过程中,提及金融App和机构官网等,本质上存在一个现象,即攻击面的扩大。因此,如今不管是金融机构还是国家组织,都更加强调他们本身的攻防能力的考核和检验、安全防护方法和修复措施。

F5提出的全数据通路保护,秉持一种纵深防护的理念,结合大数据智能分析的方法,切实保护金融业务安全、应用安全,如手动封禁到动态调整,流量精分到严禁架构,随着攻击的变化策略不断调整,这是一个动态防御的过程,也是攻防常态化的体现。

当前对于国内金融领域安全,陈亮提出了应该重点关注的方向,一个是“能力”,另外两个是“重心”。

一个“能力”:即攻防对抗的能力,金融行业的安全设备面对对抗时能否防护,新技术能否自动化抵抗安全威胁。

两个“重心”:其一,应用数字化转型过程中,许多现代应用的产生,比如运用了云原生、分布式等,因此在这些方向上,安全也要继续跟进。

其二,让攻防能力成为企业常态,全面改善重合规、轻对抗的传统安全理念。企业应该在攻防演习中不断吸取经验,提高对抗能力,形成合规、对抗并重的局面。

当前数字经济和产业互联网,企业将更加开放。上下游企业互联互通更加频繁,在这种开放的生态下,企业如何提高防护能力。具体而言,安全的防护产品和手段已经相对泛滥,但是安全架构还是比较单一,在适应应用敏捷的前提下,安全是否也能实现敏捷。不同的安全产品的组合和叠加,如何发挥出1+1>2的效果。此外,大数据和机器学习等技术的联动,能否让应用快速发布,应用安全随时提供。这些都企业值得深思的问题。

采访最后,陈亮还分享了F5中国在2021年安全领域的新计划和方向。

数字新基建,产业互联网理念提出,尤其是在疫情期间,数字化转型对于企业而言越来越快,甚至成为了企业生存的基石,所以这一过程产生的安全需求是不断增加的且无处不在的。在未来,一方面,F5将继续深耕应用安全,在宣传方面,不断借助新媒体的方式加强宣传安全方案力度。

另一方面,提出先进的安全方案和技术,结合中国现有客户的特点,提供具有场景化的安全方案,比如人工智能、大数据、云计算、防欺诈,尤其是刚提及的产业互联网,客户需要有更多的互联互通,通过API开发的接口跟它的上下游企业进行互联,同时,确保API和供应链的安全。

来源:freebuf.com 2021-04-25 10:23:47 by: Sandra1432

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论