解讀F5《2022年應用策略現狀報告》

侯彬炳

日前，F5發布了面向IT決策人員的年度調查報告——《2022年應用策略現狀報告》，揭示了應用安全和交付領域的幾大前沿趨勢，并對企業面臨的挑戰與關注的技術進行深度解讀，反映出隨著全球范圍內企業和機構數字化程度提高和愈發以應用為中心，伴隨而來的是更廣泛的新發展趨勢和潛在的風險。

據悉，該報告有超過1 500名用戶參與調研，涵蓋10個重點行業及12個不同角色，其中有超過100位受訪人來自中國。F5安全事業部總經理兼金融及企業事業部技術總監陳亮表示：“國內和國外的企業在進行數字化轉型時，遇到的挑戰和想要解決的問題是相對一致的。中國企業是摸著石頭過河，希望有更好的參考和模板?！?h3>企業現代化全面推進

數字化轉型過程有3個階段：任務自動化、數字化擴展、人工智能輔助業務。90 %的企業正在實施數字化轉型，其中大多數企業同時處于多個階段，優先順序和進度稍有不同。在任務自動化階段，可以讓以“人工和月份”為單位的處理方式得到顯著提升，運營績效從2021年的25 %提升到2022年的33 %。

在數字化擴展階段，產生了大量的應用和服務，應用之間相互結合，促使競爭優勢和生產力得到廣泛提升。在2021年數字化擴展只覆蓋了57 %，2022年已提高至70 %。在人工智能輔助業務階段，人工智能具備安全級的防護，提升運維效率，增加新的業務機會。人工智能覆蓋率從2021年的56 %增長到2022年的61 %。

當前，應用已經成為人們生活、工作的核心。在IDC發布的報告中，分析了福布斯排行榜前250位的公司。數據顯示，數字創新者在市場上表現出色，他們的營業收入在非常嚴峻的疫情之下也達到了26 %的增長效果。而其他公司的營業收入要么下降，要么緩慢提升。

F5洞察到，在轉型過程中需要平臺級解決方案，可為整個應用組合提供一致的保護、性能和數據訪問能力，不僅更易于管理，而且還能夠更好地幫助企業從孤島中釋放更多數據，從而實現人工智能輔助。只有這樣，整個企業才可實時做出全面響應，以滿足客戶需求、開拓創新并更快速地將差異化服務推向市場。

應用環境持續改變

數據顯示，企業的應用組合趨向于平均包含200 ～1 000個應用，這可以理解為非常多的企業在做大應用概念。另一個趨勢是，應用從原來傳統的數據中心層面開始往邊緣化、多云環境中進行部署。大多數受訪者（88 %）都在各種環境（包括邊緣）中運行傳統和現代應用架構。

F5洞察到，混合架構（包括本地數據中心和XaaS產品）不會消失，而應用和工作負載將日趨容器化和移動化，這也意味著復雜性將隨之而來。為了應對這一挑戰不僅需要采用分布式云架構，還需獨立于平臺的安全和交付技術，可跨不同環境為所有應用提供一致的保護、可視化和性能，包括實時遙測技術和智能技術來提高洞察力，從而達到提升防護的作用。

應用安全和交付技術不斷發展

大量的企業使用21種應用安全和交付技術相關的架構和產品，以及服務的方式來保證應用安全、可靠、穩定的運行。96 %的企業部署了身份與訪問管理技術，26 %的應用安全和交付技術部署在邊緣，這是因為應用在向不同環境遷移的過程中，提出應用環境和交付的需求。

應用無處不在，可以部署在本地、公有云、邊緣、托管中心、SaaS/托管服務等。應用與“應用安全和交付技術”之間，并不是對等的關系。DDoS和API網關等安全服務可能在邊緣或邊緣附近提供最佳性能，可防止攻擊影響整個網絡。同樣，基于身份的訪問控制可以在盡可能靠近用戶部署時發揮最大作用。

F5洞察到，應用及為其提供支持的安全和交付技術的部署位置越來越分散，而且通常隨著SaaS使用和邊緣部署的增加，部署位置可能日趨分散。企業可以根據優先事項和所需實現的目標，為每個應用安全和交付技術選擇理想的部署和使用模式。針對每種支持技術做出最佳決策需要認真研究，并與其解決方案可跨各種部署模型高效、一致運行的廠商建立合作關系。

安全防護日益轉向風險管理

供應鏈攻擊、密碼泄漏、零日漏洞等安全風險持續加劇。那么，安全和性能之間如何保持平衡？很多受訪者給出的答案并不樂觀。報告顯示，78 %的企業已經實施了API安全措施或計劃在未來12個月內實施，高達76 %的受訪者表示愿意關閉安全措施以提高性能。

企業需要在可接受的性能、客戶體驗和成本與可接受的保護和安全合規之間取得平衡。大力投資API的企業（包括自由使用XaaS的企業）需要采用現代化API安全方法。除了IT/OT融合和5G可能帶來的機遇以外，零信任與WAAP安全解決方案也是企業備受關注的關鍵領域。

F5洞察到，隨著應用及其面臨的威脅（API）持續激增，基于身份的安全防護迅速變得與較為傳統的威脅防御方法一樣重要。幸運的是，企業在安全防護的重要性和新興的風險管理方法方面越來越協調一致，這推動了企業加大對應用安全防護的投資。

鑒于每天都有新的漏洞發現，采用基于身份的安全防護的企業將能夠結合情境管理威脅并繼續推進現代化，同時有效地平衡風險與性能。此外，在整個產品組合中更高效地部署和管理WAF、API安全防護及Bot防御將有助于降低風險，并實現更好的整體風險管理。

增強戰略意識化解安全挑戰

報告顯示，98 %的受訪者缺乏所需的洞察。擔任不同角色的受訪者認為，他們最需要獲得以下3個洞察：39 %的受訪者表示需要了解應用性能下降的根本原因；38 %的受訪者表示無法獲得有關潛在攻擊的信息；37 %的受訪者表示缺乏對應用問題或事件根本原因的洞察。

數據和分析項目的首要任務是挖掘事件的根本原因，廠商特定工具、云提供商工具和API、使用API等類型的技能短缺都在不斷增長。如果企業不僅希望更好地管理當前運營，而且還期望采用所需的更深入數據分析和機器學習（ML）來實現其人工智能愿景，就必須解決技能短缺問題。

F5洞察到，如今IT團隊面臨的挑戰反映了企業系統無法跟上快速變革步伐，造成這種復雜性的技術創新無疑還將繼續推進下去，如果沒有更統一的數據訪問以及配套的工具和技能，人工智能輔助將無濟于事。

企業可以采用站點可靠性工程（SRE）實踐和類云操作，但為了靈活適應不斷加速的變化，企業需要部署獨立于平臺與環境的應用安全和交付技術。這些技術適用于現有架構，可在整個應用組合中交付一致的安全性、性能和可視化。

77 %的企業表示，他們目前正在采用或計劃采用SRE實踐，使用服務水平目標SLO著手解決預期的故障，以更順暢地管理事件，系統將發生故障的情況下繼續運行、滿足相關預期，通過數據提高效率、性能和自動化水平。

屬于F5的異類時刻

作為全球應用交付服務與應用安全“雙一流”科技廠商，F5在應用交付市場已經領先20余年，并且穩居應用安全市場前兩位。在應用大爆炸、安全風險激增的當下，F5的定位是“讓更好的數字世界融入生活”，利用F5的力量，為客戶提供相應的交付能力、用戶體驗能力和安全防護能力。

為什么叫縱深防御？無論是邊緣，縱深內部，還是應用前端，F5可以提供大量的防護能力。比如，WAAP（Bot，API，WAF，DDoS）四位一體安全防護、DNS安全、DDoS邊界安全、SSLO安全流量編排、零信任/SSL VPN、APM零信任以及SSLO安全流量編排等。

傳統的WAF已死，但F5 WAAP四位一體安全防護可以力挽狂瀾。通過F5遙測與生俱來數據接口能力分析異常行為，可以監控大量的業務相關的接口，提供面向業務邏輯的安全防護策略，一致的強健WAF引擎，以及一致的安全策略，實現風險監測，精準安全防護。

為了應對IT和OT的融合趨勢，F5推出了Distributed Cloud WAAP，這是F5基于分布式云服務平臺推出的首個新服務，它將F5解決方案的多項安全能力集成到統一的軟件即服務產品中。這項服務簡化了應用管理，并提升了安全性，實現了流程自動化，使應用團隊能夠集中精力于提供改善客戶體驗的服務。

關于未來，陳亮表示：“F5會積極地擁抱數字化轉型、擁抱本地化，提供更多本地化的服務產品、技術和解決方案。我們也會積極地擁抱開源，把更多、更好、可信的開源技術傳遞給客戶，在數字化轉型當中有更多利用開源技術，利用更可信的開源技術幫助企業進行數字化創新、數字化轉型?！?/p>