【51CTO.com原創(chuàng)稿件】隨著企業(yè)用戶數(shù)字化轉(zhuǎn)型的深入，越來越多的企業(yè)業(yè)務(wù)都呈現(xiàn)出了互聯(lián)網(wǎng)化、移動化等特征，為了實現(xiàn)業(yè)務(wù)更快、更安全地上線和迭代，企業(yè)業(yè)務(wù)的應(yīng)用架構(gòu)和應(yīng)用部署也都發(fā)生了巨大的變化：從單體應(yīng)用到分層應(yīng)用、再到微服務(wù)應(yīng)用，從本地部署到容器化編排、再到多云部署。面對這些變化，傳統(tǒng)應(yīng)用防護手段--Web應(yīng)用防火墻（WAF）就有些力不從心。因為安全策略無法隨著應(yīng)用的變遷而遷移。其次，在不同應(yīng)用環(huán)境下，WAF的策略無法保持一致。再者，WAF安全性的控制水平良莠不齊。第四，不同品類的WAF產(chǎn)品學(xué)習(xí)成本和管理成本巨大、安全性低。如何破解這些難題？F5帶來了在不同架構(gòu)、不同應(yīng)用環(huán)境中提供一致性安全防護的解決方案。

隨需而變，持續(xù)打造安全防護解決方案

F5作為領(lǐng)先的應(yīng)用交付網(wǎng)絡(luò)領(lǐng)域廠商，20余年來一直在為企業(yè)應(yīng)用提供全面的安全防護解決方案。早期，F(xiàn)5的Web應(yīng)用防火墻產(chǎn)品ASM主要針對傳統(tǒng)OWASP TOP 10進行防范。F5 ASM為每個Web APP提供了一個安全策略，與該Web APP相關(guān)的所有功能配置都綁定到該安全策略上，不同的安全策略之間的配置相互獨立。隨著企業(yè)應(yīng)用架構(gòu)的遷移，在用戶端，防護不能僅僅針對Web應(yīng)用，還需要增加針對API、機器人的防護，這就需要更新型的工具。 為此，F(xiàn)5推出了AWAF，即高級Web應(yīng)用防火墻（Advanced Web Application Firewall），旨在通過領(lǐng)先的應(yīng)用安全實力, 針對日趨復(fù)雜的應(yīng)用威脅，為用戶打造一體化的解決方案。F5 AWAF通過反機器人功能動態(tài)防護應(yīng)用；通過按鍵加密的方式防止鍵盤監(jiān)控引起的身份失竊；通過綜合性機器學(xué)習(xí)和行為分析提高應(yīng)用層DDoS嗅探能力。

如今，企業(yè)的傳統(tǒng)應(yīng)用架構(gòu)都在轉(zhuǎn)向為微服務(wù)應(yīng)用，因此傳統(tǒng)的IT架構(gòu)也在向多云架構(gòu)、邊緣架構(gòu)遷移或改造。為了幫助企業(yè)應(yīng)對多云以及邊緣端的挑戰(zhàn)，F(xiàn)5將AWAF產(chǎn)品的能力，包括安全引擎、安全處理能力，

遷移到了NGINX容器和公有云SaaS服務(wù)，以及邊緣的Web應(yīng)用中。F5將這種可以幫助客戶在不同應(yīng)用架構(gòu)、不同應(yīng)用部署環(huán)境中提供一致性的高級安全防護效果，安全能力伴隨用戶的應(yīng)用變遷而變化的解決方案稱之為One-WAF。

F5 One-WAF核心技術(shù)揭密

F5安全架構(gòu)師陳玉奇對此進行了深入介紹。以容器環(huán)境的安全防護為例，傳統(tǒng)的應(yīng)用往往是部署在數(shù)據(jù)中心的單體應(yīng)用，此時的防護只需管理Web應(yīng)用防火墻或者Web應(yīng)用程序和API保護(WAAP)服務(wù)，是對Web應(yīng)用的輸入輸出、機器人攻擊進行統(tǒng)一的防護。當(dāng)業(yè)務(wù)部署在容器環(huán)境時，就要求WAF能夠進入容器，針對某個容器中的一個服務(wù)進行單獨保護。此時，傳統(tǒng)的WAF就不能夠勝任，F(xiàn)5的解決方法是使用原來的引擎，基于NGINX把WAF嵌入到容器中，對Web應(yīng)用進行防護。

F5 One-WAF 解決方案模型

在安全領(lǐng)域，安全策略之間的差異可能會導(dǎo)致入侵或安全事件的發(fā)生。理想的狀態(tài)是無論在容器中、主機中，或者多云、邊緣的環(huán)境中，雖然產(chǎn)品形態(tài)不一樣，產(chǎn)品管理形態(tài)不一樣，但是安全引擎和安全策略是一致的，F(xiàn)5 One-WAF另一大優(yōu)勢也正是如此：提供一致的安全策略。部署環(huán)境的完整性，一致的安全策略，這兩大優(yōu)勢使得F5 One-WAF解決了在不同架構(gòu)、不同應(yīng)用環(huán)境中提供一致性安全防護的難題。

不同消費模型的應(yīng)用安全策略

安全體系建設(shè)流程梳理

作為資深的安全架構(gòu)師，陳玉奇對企業(yè)的安全建設(shè)也有著自己的見解。陳玉奇認(rèn)為，企業(yè)首先要做的是結(jié)合實際情況做出準(zhǔn)確的需求分析，確認(rèn)企業(yè)所有的業(yè)務(wù)都已經(jīng)可以適應(yīng)混合多云的架構(gòu)。之后，企業(yè)需要考慮在混合多云的環(huán)境中，要達到什么樣的安全控制目標(biāo)，比如合規(guī)的能力，快速響應(yīng)、快速處理的能力等等，這也關(guān)系到企業(yè)的資金、人員的投入。在確定目標(biāo)之后，企業(yè)需要評估安全體系架構(gòu)是自建還是托管。如果是自建，那么人員團隊的結(jié)構(gòu)，技術(shù)的儲備等就是企業(yè)首先要考慮的。如果選擇托管的方式，則要選擇合適的安全服務(wù)廠商，為企業(yè)在不同的環(huán)境中提供一致的安全服務(wù)和能力。

[[401675]]
陳玉奇 F5安全架構(gòu)師

另一方面，無論是自建還是托管，企業(yè)的最終目標(biāo)都是為了讓業(yè)務(wù)更順暢，這就關(guān)系到安全體系的建設(shè)是以手動的方式還是自動的方式去建立。手動的方式相對來說可控能力較強，但是對一些安全威脅的響應(yīng)速度，或者應(yīng)用發(fā)布的速度，就會稍有遜色。如果選擇自動的方式建立安全體系，那就意味著所選擇的安全廠商，必須要有強大的接口，來支持產(chǎn)品選型，提高開發(fā)效率。

第三，安全體系建設(shè)要與業(yè)務(wù)發(fā)展情況相匹配。在不同的業(yè)務(wù)發(fā)展階段，選擇不同的安全體系建設(shè)方式。

面對復(fù)雜應(yīng)用的組合，應(yīng)用部署環(huán)境的變化，安全風(fēng)險的增加等挑戰(zhàn)，F(xiàn)5 One-WAF為企業(yè)提供了一致的、隨用戶應(yīng)用變遷而變化的高級安全防護解決方案，為企業(yè)帶來了全數(shù)據(jù)通路的安全防護能力，為企業(yè)加速數(shù)字化轉(zhuǎn)型保駕護航。

更多One-WAF詳細介紹，請關(guān)注《混合云下的應(yīng)用交付:F5 One-WAF解決方案模型》在線研討會。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】