神刀安全网

专访F5金飞:攻击愈发场景化 安全防护需更精准

一直以来,F5作为应用交付领域的龙头老大广为国内用户所知,殊不知其早已布局安全,并作为应用交付架构的自带功能为用户提供安全服务。随着云计算的快速发展,用户在云环境里对于负载均衡的需求已不再那么明显,反而对安全的需求在显著叠高。

2016年5月24日,恰逢F5在京举办F5 Agility大会,F5高级安全架构师金飞接受了TechTarget记者的采访,并谈及了国内用户对应用安全的需求变化及F5为应对这种变化所提供的解决思路和方案。

攻击更为场景化 对防御的精准性提出更高要求

安全是非常具有本土化特征的一个生态圈,因为安全作为国家高度的战略,直接跟法律法规层面划等号。随着攻击形势的演化,整个行业发展的主要方向是向应用层靠近,无论是安全产品还是解决方案都变得愈发场景化。

传统状态下,防火墙对进入的流量进行筛选,通常情况下,筛选出的威胁流量不到10%,而90%的流量基本都在静态页或常规访问上,常规防火墙设备会在这些没有受到攻击的流量上消耗大量性能。而攻击者一般攻击登录页或交易页,其攻击目标是非常精准的。显然这种广撒网式的防御在应对精准攻击时越发有心无力。

且如今的恶意软件已不是在外围进行攻击,而是在浏览器中。攻击者在浏览器上注入恶意软件,可获取浏览器上的输入数据,即便是HTTPS也是徒劳,这种基于浏览器的恶意软件是在浏览器内核里,在SSL加密传输之前就能够得到明文信息。此外现在的攻击都更加场景化,如黄牛抢票这类行为DDoS,是在游戏规则内通过软件模拟人的高频行为,在不违法的情况下实施攻击。

面对这种越发场景化的攻击,就需要调整防御架构的思路,即更精准的防御高危页面,精准的防御被打击的页面,只有当访问了特定页面的时候,才启动防御体系。如此,计算和防御能力的投放更精准,也更具对抗性。这种基于业务场景的更加细粒度的防御是未来的一个重要方向,F5基于页面更细粒度防御的Websafe方案即是这一方向上的安全服务。

三大安全架构 F5为企业用户输送安全能力

安全的对抗实质是资源的对抗,只有防御的节拍比攻击的节拍更快、成本更低才会拥有对抗的主动权。面对越发灵活的场景化攻击,企业需要以最小的成本、最快速的集中解决被攻击的问题。F5在长期的积累中形成了三大安全架构,帮助用户应对不断变化的攻击形势。

首先是数据中心的安全架构。即F5原有的AFM和ASM,比较典型的是与万达的合作,将安全产品打包帮助万达建立企业级2-7层的清洗中心。在企业级数据中心里做双链路接入架构:满足合规的常规接入架构和对抗架构。这种运维和对抗架构的分开得以解决以往对抗时改策略而对抗结束后需要回滚的麻烦。

其次是基于虚拟化和云的安全架构。即将F5的防御产品以虚拟版本放到共有云中,因为进入云环境,很多企业的需求已从负载均衡转向安全,且小租户对安全有着急切的需求,F5可以为不同租户提供跟随式的定制化的私有防御架构。

最后是基于防欺诈的安全架构。对于任意一个客户端用户,F5将其默认为不安全的用户,对其是0信任的,只有对行为和参数进行保护后才允许其与数据中心交互。在客户端可以做到0安装,全透明,且没有浏览器限制。WebSafe即属于防欺诈的安全架构范围。

据金飞介绍,F5的安全方案在运营商部署的更多,往往是用户需求倒逼的过程,特别是在一些极端情况更能够彰显F5安全方案的价值。

攻击形势只会更糟,企业需要结合自身业务采用更灵活、高频且经济的安全方案。正如金飞所说,“安全永远是IT架构中含金量最高的部分,尽管最高的部分不等于最大的部分,但它是最有价值的部分。”

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 专访F5金飞:攻击愈发场景化 安全防护需更精准

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址