专访F5北方区技术经理杨明非
IT整合,是近年来逐渐被多数组织机构所重视,尤其是高度依赖IT系统提供服务的企业更是不断地在尝试探索,希望能找到一个适合本企业系统架构、简化管理、性能优化的完善体系,实现业务和IT服务的一体化管理。从而可以看出,整合,是信息高速发展的必然结果,也是提高IT服务能力的必由之路。
信息安全,作为IT系统的重要保障手段,也在尽然经历着整合与再整合,从防火墙、IDS、IPS,到UTM、立体防御体系,无一不体重现整合的思想。然而遗憾的是,安全的同时却加重了系统的负担,似乎要安全就要损失性能,成为信息安全的灰色地带。
应用安全之痛
杨明非指出,在最近Frost & Sullivan发布的针对亚太区企业CIO调查问卷中显示在云计算落地、IT整合等过程中,安全因素成为了决定是否部署的首要考量标准。众所周知,随着微软、SAP、Oracle等应用提供商的大力推广,Web应用在近几年内迅速崛起。由于Web应用能够提供出色的使用体验,也使其成为云计算以及IT整合中不可或缺的重要部分。(Web服务通常是指采用了B/S架构,通过HTTP、HTTPS、FTP等协议为客户端提供服务,我们姑且把这种结构称之为Web架构。)
正因为Web架构的简单方便,交互性和通用性好,开发周期短等特点,Web架构从互联网领域走进了企业内部的网络,各种组织机构的越来越多的业务系统都采用了基于Web服务的方式,开发新业务系统,为用户提供方便快捷的服务。例如,在SOA架构中,Web 2.0就作为其实现的基本工具之一而被广泛采用。
“但凡事情总有多面性,”杨明非表示:“Web服务带给用户简便易用的Web信息系统的各种各样安全问题已经数不胜数,Web系统也在时时刻刻遭受着各种攻击的安全威胁,服务器系统漏洞、跨站漏洞、SQL注入漏洞、OA系统的XSS漏洞等等,让Web服务提供者以及用户饱受安全事件的困扰。”
目前大多数的企业已经意识到Web信息系统的安全威胁,并采取了众多安全措施,也花费了大量的人力物力在网络及服务器的安全上,采用的产品更是五花八门,防火墙、IDS、IPS、UTM等等,一齐上阵,希望能为Web系统做好安全防护。
杨明非总结道:“通过Frost & Sullivan近期的调查报告我们可以看到,在现阶段,不少CIO对于Web应用安全,与传统网络安全的认知上还存在着混淆。其中有两个最重要的问题总被忽视第一,与传统的网络安全不同,Web系统面临的是应用层的安全威胁而不是底层威胁,面对这种安全问题,防火墙等传统显得力不从心。无论是应用级还是端口级的防火墙,针对的都是网络层面的攻击,通过设置可访问的端口或者应用,可以把恶意访问排除在外。但防火墙却很难鉴别善意访问和恶意访问,尤其是加密的访问,因此,访问一旦被允许,后续的安全问题防火墙就已经无法应对。第二,当网络前端放置了大量此类安全设备,系统性能会大幅下降,当然随之而来的则是Web应用处理能力低下。”
因此,安全与性能,稳定与高可用,成了Web安全无法规避的难题。
管理应用安全
面对需要整合其基础架构的企业和Web服务器提供者,如何使得他们获得更高的安全性,同时部署和优化他们的应用,这就是应用安全管理所面临的课题。
杨明非表示:“应用安全管理,既要大幅提高系统的攻击防御能力,降低威胁,同时又要增强应用的透明度,让应用系统的性能不受影响,保证持续的高可用性。这正是F5提出Web应用安全解决方案的出发点。”
此外,如何在提高安全性、确保网络性能依然流畅的同时,不增加管理的难度与成本,也是CIO们在部署云计算,进行IT整合时的痛点所在。杨明非指出,F5一直致力于通过多种功能集成在单台设备的理念,提高性能、简化管理流程,从而达到有效降低投资成本与运维成本。这在F5新版的BIG-IP ASM(应用安全管理器)以及BIG-IP Edge Gateway平台上可见一斑。
F5的新版 BIG-IP ASM,能够出色地抵御第七层拒绝服务(DoS)攻击、跨站脚本攻击、暴力攻击(Brute Force)和SQL 注入攻击等。通过在一个灵活的、可扩展的平台上提供增强的集成安全特性,企业在出现新威胁或者改进基础设施时能够更加轻松地满足各种应用安全要求。同时,借助F5 BIG-IP Edge Gateway F5提供了市场上首款能够在单一、可扩展的平台之上,统一为远程用户提供安全 SSL VPN 访问、动态访问与优化控制,以及应用加速功能的应用交付控制器 (ADC),同时不会受到用户所使用设备或接入网络的影响。
安全与性能并重,才是应用安全管理解决之道。