“道高一尺，魔高一丈”, 這一說法一直是網(wǎng)絡(luò)安全的真實(shí)寫照。事實(shí)上，無論軟件與硬件安全，其每次升級(jí)的背景，總與新的威脅出現(xiàn)有著直接的關(guān)系。真正做到對(duì)任何網(wǎng)絡(luò)威脅的“前瞻性”防御，幾乎是“不可能完成的任務(wù)”。

[[107829]]

F5中國區(qū)技術(shù)總監(jiān)吳靜濤

近來，新聞報(bào)道警告表示包括支付系統(tǒng)在內(nèi)的很多 IT 產(chǎn)品與應(yīng)用缺乏足夠安全性。其原因首先是安全問題具有滯后性，其次，設(shè)計(jì)與實(shí)施階段的相關(guān)人員缺乏專業(yè)培訓(xùn)。

F5認(rèn)為，無論國際還是國內(nèi)，隨著網(wǎng)絡(luò)環(huán)境的不斷演進(jìn)，接入設(shè)備從數(shù)量到種類的激增，人們對(duì)各種應(yīng)用的日趨依賴……這些趨勢(shì)也使得網(wǎng)絡(luò)安全從業(yè)人員的任務(wù)變得愈發(fā)繁重。

在F5看來，安全性的關(guān)鍵在于流程。安全性應(yīng)當(dāng)按照下述方法管理實(shí)施：由安全專家制定政策以確保組織內(nèi)部的安全性與合規(guī)性，這一點(diǎn)十分重要。由編程人員開發(fā)軟件也同樣重要。但是這兩類人員截然不同。

企業(yè)應(yīng)用是一個(gè)企業(yè)的關(guān)鍵資產(chǎn)。安全性不應(yīng)是軟件工程師的獨(dú)立任務(wù)，因?yàn)檐浖こ處煯吘共皇前踩珜＜?。因此，?jǐn)慎的做法是將軟件編程人員承擔(dān)的代碼安全責(zé)任轉(zhuǎn)移至可靠的安全解決方案專家。

從這一角度出發(fā)，安全性就是端到端流程，應(yīng)由政策管理企業(yè)內(nèi)部任何發(fā)生用戶交互的區(qū)域 — 設(shè)備、訪問、網(wǎng)絡(luò)、應(yīng)用與存儲(chǔ)。鑒于各個(gè)移動(dòng)部件的復(fù)雜性，有時(shí)需要將多個(gè)獨(dú)立安全節(jié)點(diǎn)整合至融合解決方案中。簡(jiǎn)而言之，這與流程簡(jiǎn)化十分相似，與企業(yè)顧問所說的“BPR-業(yè)務(wù)流程重組”并無二致。不管怎樣，從首席財(cái)務(wù)官的角度來看，這都意味著運(yùn)營(yíng)成本和資本成本的巨大節(jié)約。

拿應(yīng)用安全來說，未來趨勢(shì)就是將應(yīng)用安全性內(nèi)建至應(yīng)用交付控制器。應(yīng)用交付控制器(ADC)的設(shè)計(jì)目標(biāo)就是安全地為最終用戶交付原生應(yīng)用。在今天的環(huán)境下，ADC 可作為應(yīng)用的安全防護(hù)工具;ADC 可防止未經(jīng)授權(quán)的訪問，并增加功能以緩解應(yīng)用級(jí)別的復(fù)雜攻擊(如 OWASP)。

然而，實(shí)際場(chǎng)景日益復(fù)雜。Y 世代希望能夠自由選擇辦公設(shè)備并且在社交網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)之間無縫切換，這一年輕化群體的要求更為苛刻，他們需要的功能更為強(qiáng)大，因此為企業(yè)的首席信息官提出了更高挑戰(zhàn)。首席信息官面臨的挑戰(zhàn)是如何在日益復(fù)雜的威脅環(huán)境下保護(hù)企業(yè)資產(chǎn)。如果還需要利用云環(huán)境的低成本和可擴(kuò)展性優(yōu)勢(shì)，則安全挑戰(zhàn)就更為艱巨了。

現(xiàn)實(shí)安全環(huán)境迫切需要?jiǎng)?chuàng)新型安全解決方案 — 該方案既要了解企業(yè)應(yīng)用的狀態(tài)又要了解用戶行為，既要能夠有效實(shí)施企業(yè)安全政策又要能夠?qū)?duì)用戶體驗(yàn)的影響降至最低。F5 認(rèn)為安全性是一項(xiàng)可靠的業(yè)務(wù)。選擇正確的流程與政策要比選擇廠商重要。是政策與流程決定著解決方案，而非解決方案決定政策與流程。