F5眼中的應用安全

F5公司高級安全架構師 金飛

記者：F5作為一個網絡公司，在安全上有什么策略？對安全是如何理解的？

金飛：安全解決方案應當以攻擊的變化而變化，以前的攻擊可能是以資源消耗型為主。隨著傳統行業信息化越來越豐富，攻擊由資源消耗型轉變為商業模式搶奪型。F5專注于應用負載均衡，而攻擊模式由網絡層向應用層的變化使F5對應用負載的感知具有很大優勢。現在出現了針對應用場景的攻擊，如利用程序來進行的自動化攻擊。因此首先需要區分攻擊是人還是程序，然后區分其在做的是好事還是壞事，做好這兩個就抓住了信息安全防御的精髓。

記者：新的技術會對網絡產生一定影響，認識上也會有所不同，可能是安全或控制問題，F5是怎么做的？

金飛：F5的優勢在數據中心側，靠近應用和服務器側。在接入側，身份認證給應用安全帶來很大挑戰。F5的APM可支持各種終端，實現由F5的設備做一次認證，然后由F5與其他設備做二次認證，管理員只需記一套口令即可實現所有設備的認證。且原來通過VPN連接到公司核心網絡有隧道劫持的風險，用戶無法感知。F5方案是根據應用分級，在一個大的設備級隧道中再為某些更為核心的應用做一些小隧道，實現應用與應用的在設備級隧道中的隔離。

記者：F5有哪些協同合作來解決安全問題？

金飛：F5主要解決面向應用的安全。如大流量DDoS攻擊，如今“肉雞”由個人PC變為IoT設備，增加了大量新的攻擊源。企業級數據中心是以有限資源對抗無限資源攻擊，這需要運營商與企業級數據中心進行協同，運營商能夠把超出骨干網的流量阻斷在靠近攻擊源處，然后連同企業級數據中心的2至7層的防御架構，即可阻斷大流量DDoS攻擊。所以未來F5會與運營商合作，將更多力量放到云端，形成資源池，將大的流量引入資源池做清洗，然后將“干凈”的流量導向數據中心。

記者：隨著形勢的變化，安全的策略也發生了很大變化，F5都做了哪些應對措施？

金飛：軟件的特點是升級很快，我們很多產品每年都會有版本升級。這實際上超出了很多用戶承受能力，因為安全與負載均衡是矛盾的，負載均衡要求穩定，而安全需要經常的維護。若無法理清二者的關系，將會給運維帶來很大難題，因此F5要求盡量將負載均衡和安全區別對待。N