F5安全能力進階：新架構進行Per-Page保護與API安全

「無論應用在何處運行，都可以幫助NetOps、SecOps和應用開發團隊為每個應用部署一致的、適當規模的應用服務。並且在『多雲』環境下，通過對應用進行實時的嗅探與管理，為多雲環境提供更加智能的應用服務解決方案」。到今天，ADC的發明者F5提供了業界獨一無二的應用服務方案。

其實對應用有深刻理解的F5除了提供獨特的應用服務外，還有獨一無二的安全。「應用到哪裡我們的防禦就到哪裡，F5提供了端到端面嚮應用的整體安全解決方案。」F5亞太區安全解決方案架構師金飛說。

F5亞太區安全解決方案架構師金飛

毫無疑問，應用已經成了絕大部分攻擊的首要目標，任何應用都可能成為網路威脅的載體。這也就給了F5機會，去年F5 Web應用防火牆 (WAF) 進入Gartner領導者象限，這得益於F5在保護應用免遭威脅上的出色表現。

如今，隨著F5發布新一代F5 Advanced WAF解決方案，針對日趨複雜的應用威脅，F5的應用安全能力又提升了一個新的台階。

F5 Advanced WAF提供Per-Page保護與API安全

「F5 Advanced WAF提供了一種從攻擊視角做防禦的機制，假如企業應用有100個頁面，但是對攻擊來說最有用的頁面都不會超過3、5個，比如登錄頁面、交易頁面、客戶信息頁面等。F5提供了新的Data Safe功能，通過把這幾個常攻擊頁面的流量單獨剝離出來，對其訪問流量進行定製化、具象化的保護，從而提供個性化的體驗。」金飛在接受至頂網採訪時表示。

這意味著有別於傳統WAF作為流量型產品對全部頁面或流量進行防護，F5隻對黑客感興趣的應用頁面進行特殊的區別化保護，而額外的「97個頁面」採用一般性策略處理，這時應用的體驗得到大幅提升，同時不會犧牲安全性。

此外，在API泛化的今天，F5 Advanced WAF提供了單獨的API防禦模塊。越來越多的應用通過API調用，API的可用性直接決定了應用可用性。然而API泛化帶來了越來越多的攻擊行為，在幾個月前的BINANCE事件中，黑客就是在獲取用戶賬號後，自動創建交易API，從而進行的一系列數字貨幣盜取操作。金飛指出，「從API安全來看，防禦變得越來越具象，越來越貼近代碼層和開發語言環境，這也就是SecOps的理念。」

F5發現了這一趨勢，總體看來安全防禦會向兩個方向演進，「一種是實現高能力的防禦架構，例如一塊板子達到100G性能的單板能力；另一種趨向是應用層防禦的小型化，例如為某一個頁面單獨配一個WAF。」金飛說，F5即將要發布Advanced WAF的CE版本，它只有25M的細粒度，也許很多人覺得25M的WAF非常滑稽，實際上站在應用頁面的視角它卻足夠Powerful。

F5曾經提出Per-App VE的理念，現在F5把這一理念擴展開來，也就是實現Per-Page WAF，給每一個頁面配一個小的WAF，更為具象化。在F5看來，未來要把安全策略放在不同的應用前端，以虛擬化的形式實現，安全一定是差異化的，安全策略也一定是差異化的，因為每個應用的安全級別需要不一樣。

此外在多雲方面，Advanced WAF允許F5的客戶既能為多個雲—私有雲和公有雲—平台提供基本的應用安全服務，也能通過微服務和容器等方式提升服務的便捷性。基於自動化安全策略，該安全方案還能提供基於AWS、Google、Azure環境的雲模版，進一步縮短新應用的部署時間。

AI安全與F5的感知安全架構

在對應用的保護中，對於越來越熱的AI技術，F5也引入了其能力。例如利用機器學習通過對業務流量的學習來判斷對的和正常流量，通過機器學習來得到攻擊流量和行為的動態特徵。「其實正常人的訪問行為模型是非常容易標準化和提煉出來的，攻擊的行為和正常的用戶訪問行為截然不同。F5的防禦體系裡面有這種模型抽取能力，可以對非正常的模型產生告警和阻斷行為。」金飛指出。

不過，在F5的防禦機制和體系中，F5對於AI的引入視為錦上添花而不是唯一。在金飛看來，AI並不能真正幫助在短時對抗中的勝算，所以對於實時對抗的安全架構來說，機器學習實際上是個輔助。「F5對應用的理解是最深刻的，可以說對應用的參數描述最全面。一旦應用出現了問題，F5馬上就能夠感知並立即行動，但是卻可以不用大量去學習去感知。因為F5離應用最近，所以採取的行動也最直接有效。」

F5提供了一個有感知能力的防禦架構，也就是能夠容易感知前端的行為是一個正常訪問還是一個惡意軟體。

「在這其中，F5的優勢在於應用交付和安全融合在一起，這是跟別人最大的不同，可能對於其他廠商來說怎麼把流量引入一個防禦架構再讓它回到伺服器，這是一件需要廠商協作的事情，但是對於F5來講，完全可以在自己內部解決。」金飛說。

小結

總體看來，得益於對應用的深刻理解，F5不斷擴展安全解決方案，從WAF到DDoS防護，從SSL可視化再到身份認證和訪問管理，從互聯網到雲再到如今的物聯網安全，F5提供了一種面嚮應用的端到端安全解決方案，從而保護應用及其背後的數據。

並且，F5還正在聯合合作夥伴，將安全能力賦予到更多的空間，就像金飛所說，安全產品會越來越專業，而越來越專業的結果就是它越來越複雜難用。F5致力於幫助用戶簡化安全，例如把F5安全作為一項能力植入夥伴或用戶的基礎設施中，通過後者的SOC平台或管理平台來控制F5功能的打開或關閉，以及策略下發等，從而提供專業安全產品的易用性。-

並且F5在日前召開「2018 F5中國應用服務高峰論壇」上承諾，將在北京建立測試研發中心、在中國發展本地人才、提供適合中國市場的全新解決方案，這對於F5的粉絲來說是一個福音。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！