[科技界] 告别个人英雄主义，F5携加密流量精分策略重新定义网络安全

网络安全是一个老话题，但也是一个新话题。随着终端越来越多样化，个人网络行为越来越不可控，网络环境越来越复杂，网络安全似乎总是处于一尺高一丈高的循环之中。尤其是应用安全，随着当前应用的复杂性、多样化和细分化，应用安全的重要性也被提到了一个新的高度。

因此，作为应用交付领域的全球领导者，f5在北京网络安全大会(bcs 2019)上首次向中国市场全面、系统地展示了f5的应用安全概念、技术和解决方案。f5中国安全解决方案经理陈玉琪指出，网络安全已经告别了个人英雄时代，流量的复杂性要求更高、更新的应用安全策略。通过多年的实践，f5提出了基于加密的流量细化策略和相应的安全业务性能优化方案，不仅帮助企业用户实现流量可视化和流量加密解密，还可以安排和调度各种安全技术，从而保证各方面的应用安全。

英雄惊呆了，复杂的交通性质带来了很多黑幕

安全感已经脱离了个人英雄主义的时代。在陈玉琪看来，网络安全已经进入了一个新时代。

随着互联网技术的发展，流量和业务的规模进入了前所未有的峰值状态。企业同时增加了投入成本以确保数据安全，但实际收入可能会呈下降趋势。原因是业务系统中运行的真实数据流量更多被竞争对手、爬虫服务、黄牛、扫描仪等更多未知机器所占据。这些访问使得投入成本无法控制，也增加了流量识别的难度。同时，为了安全而对数据进行的原始加密也增强了数据的隐私性，成为流量属性识别和细化的又一难点，进而给数据安全保护带来更大的挑战。

流量细化的难度不仅来自于数据流量本身，还来自于应用层数据加密的保护措施。为了保护数据和信息在传输过程中的安全性，防止丢失的登录凭据造成损坏，企业安全团队对整个应用层进行加密，建立了完整的数据库碰撞/蛮力防御系统。然而，这种看似安全的解决方案不仅保护了数据的隐私，还成为了攻击者的保护伞。

对此，f5提出只有对流量进行精细划分，从特征到行为进行多维度分析处理，阻断bot的第一次请求，才能真正避免恶意机器人造成的损失。

在万物加密的时代，在黑暗中探索安全

据报道，目前全球70%的互联网流量是加密的，80%的页面访问需要从ssl到tls加密。不透明的安全部署造成了一个盲点，因此加密的安全威胁可以通过所有安全设备，而不会被发现。

以ssl下的apt攻击模型为例，攻击过程涉及到检测、武器准备、投放、利用、安装、控制、行动等一系列行为。这些行为可能是由机器人使用登录凭证或由企业之间的api调用生成的。但是，在这个检测、交付、使用、控制和行动的项目中，所有数据都可能被加密，这可能导致安全团队精心布局的安全系统。此外，在apt攻击和类似的反信息泄露攻击中常用的水坑攻击中，绝大多数鱼叉钓鱼和假冒网站由于使用数据加密传输而无法得到完善的检测保护。所以无论是企业的安全更注重对外接入的防御，还是由内而外的接入，部署在边界的安全设备在万物加密时代还是有巨大的盲点。

为了解决盲点问题，许多企业选择为安全设备建立菊花链连接，使所有安全设备都具有加密和解密流量的能力。然而，菊花链连接的逻辑合理性并不能弥补实际应用中多次加解密带来的低效。同时，其复杂的部署策略也导致故障排除困难，故障点的并发特性使得性能和可用性较低。更重要的是，作为固化的网络，菊花链不能根据业务需求灵活扩展。

在数据加密和菊花链的双重作用下，形成了所有安全设备和网络设备紧密耦合的企业安全模型。然而，由于耦合紧密，效率低、性能低、故障排除困难等固有缺点，安全策略不易调整，使得安全模型无法对本地数据中心和云中越来越多的出站流量、办公网络的外部访问以及办公自动化网络与生产系统之间的api调用实现有针对性的安全保护。因此，迫切需要基于应用安全的实际需求的改变。

展望未来，f5安全业务优化平台凸显四大优势

通过多年的实战，f5已经形成了一个日益成熟的安全解决方案。面对客户在复杂网络环境下对更快、更智能、更安全的应用服务的需求与当前安全模型的紧密耦合状态之间的矛盾，f5提出优化双向ssl/tls加密流量的安全服务调度，实现流量可视化，并通过菊花链和安全设备解决流量数据的加密和解密问题。在多个安全设备共存的情况下，安全技术或安全产品的访问不受设备限制，因为f5安全业务优化平台进行的安全防护与安全设备无关。

在f5的应用安全解决方案中，流量细化是实现安全优化调度的关键，细化策略将植入整个业务链，形成安全的业务链。安全服务优化平台将通过上下文分类引擎对实际流量进行分类，并基于细化策略对流量进行加密和解密，然后对流量进行调度，以确认调度的流量是否需要被旁路、阻塞和检测。同时，需要保证安全业务链的高级业务监控和可扩展性。当业务链流量性能不足时，应及时监控安全设备、安全平台和安全产品本身的可用性和可信度。

与其他产品相比，f5安全业务优化平台有四大优势。

首先解决了以往安全设备加密带来的盲区，实现了可视化。

其次，安全设备与网络之间的松散耦合取代了过去的紧密耦合，解决了设备之间的调度问题，使得整个安全架构更加灵活敏捷。

第三，对于oa网络产生的出站访问流量，也部署了相应的安全设备。虽然这些安全设备在保护加密流量方面没有起到很好的作用，但f5的安全业务优化平台将优化其保护性能。

最后，在整个网络与数据中心或云的通信过程中，awaf产品会对内容和应用层进行过滤。

毫无疑问，数据加密不代表数据安全。在f5看来，数据加密代表了数据的隐私，隐私不仅保护了数据，也给安全保护带来了巨大的挑战。作为全球领先的应用交付供应商和应用安全供应商，以及全球最大的web应用服务器供应商和k8singressservice供应商，f5希望与所有安全供应商合作，帮助客户优化企业应用安全架构，提高企业原有安全架构的性能，减少应用攻击造成的经济和信誉损失，有效保护企业应用和数据安全。