去年12月,疑似黑客组织 “Anonymous” 对全球银行发起七层DDoS攻击,我国也有多家银行在攻击名单之列。然而,多家银行使用的传统安全架构的防火墙和WAF等多款产品都没能拦截此次攻击。在这种情况下,F5的工程师们临危受命,在多个现场与客户一起进行防护,帮助客户成功度过这次危机。
尽管F5在安全领域有这样成绩,同时也有自己的Advanced WAF(API安全)产品,并且在Gartner和Forrester的魔力象限中都处于领导者位置,但是人们对于F5的了解更多停留于负载均衡与应用交付。带着对F5安全方案进一步了解的想法,安全牛记者有幸采访到了F5大中华区技术负责人吴静涛。
被采访人介绍:
吴静涛 F5大中华区-技术负责人
吴静涛有深厚的一线安全攻防经验。在中国第一次被SYN攻击时,曾在现场进行防护;在Tom.com真实IP第一次遭到connection攻击时,也参与了防护。
并非用统一的安全策略?——F5的安全理念之一
安全牛:F5更多给用户的感觉是应用交付的世界领导厂商,在安全方面很少听到你们的声音,我相信很多甲方客户也会有类似的想法。能不能从一个零了解的角度开始,讲一下F5的安全防护呢?
吴静涛:我觉得如果要从零了解的程度开始说,首先要先表示F5的安全理念。F5的安全理念比较独特,有两个点:首先,我们并不是用统一的安全策略帮助客户做安全防护;第二,F5更希望对客户的主营业务能做出流量精分之后的灰度防护。
安全牛:第一个理念听上去和现在的主流背道而驰,为什么会有这样的理念呢?
吴静涛:这个理念不是由F5造成的,而是产生于业界的真实需求。现在,几乎所有安全厂商的习惯都是在数据中心构建一个安全策略,在确认完以后可以一次性下发,然后整个组织结构都能被统一的安全结构给防御住——在这一点上F5是完全认同的。
安全牛:既然这样,为什么还有 “不用统一的安全策略” 的理念呢?
吴静涛:这是因为虽然统一防护能把八九成的防护都做完,但是现在市场上有两个变化让F5有这样的策略。第一个变化,是攻防的效率。攻防的效率在之前,是以天、以小时为单位进行的,现在则是以分、秒为单位进行。另外,现在DDoS的攻击也并非是纯连接的攻击。首先,源地址是真实的;其次,攻击者也是对应用自身做了分析,能更有效地对企业进行攻击。
安全牛:一旦碰到这种情况,从哪个点来防御效果会最好呢?
吴静涛:从客户的部门来看,网络运维无法得知应用对应的URL,研发部门却没有权限去配置F5的设备,但修改代码又会产生审核的问题。从结构角度来看,就是最佳的防御点。但是,在快速的攻防环境中,安全人员在WAF的界面快速去改变配置也是来不及的。另一方面,使用F5的大客户是不允许没经过验证的配置上线的。
安全牛:那这里就有一个矛盾了:没见过的攻击,就没有直接可用的防护方式;要进行防护,那就需要改变配置,但是没验证的改变配置却无法上线。
吴静涛:对,所以我们认为未来,在快速攻防转化的时候,一定会出现一些新的职能部门,比如SecOps,能够在攻防过程中快速进行变化,从而以更好的方式适应这些新的攻防。
我们更偏向于认为F5是帮助客户做攻防的,而不只是做合规。统一的安全策略更好的是做合规,而不是做攻防。但在整个攻防模式中,如果攻击先发生了变化,那防护必须要跟上。这个就是我想提出的第一个理念:F5并不是用统一的安全策略帮助客户做安全防护——这个理念虽然听上去很惊悚,但是有其合理性。
评:F5并非否定现在统一安全管理的理念,而是弥补了统一安全管理理念的不足:在高速攻防的环境下,配置的变更还需要验证以后才能上线。因此,F5的第一个安全理念尽管看似离经叛道,实际上为了解决更加严苛环境中的安全问题的方案。
流量精分之后的灰度防护——F5的安全理念之二
安全牛:第二点流量精分之后的灰度防护能具体介绍一下吗?
吴静涛:现在的网络上的流量灰度很大。首先有不同的浏览器、本地应用模型,甚至一些小程序还有不同渠道的发布版本。同时,不同浏览器(比如手机和电脑)的行为模式又是完全不同的。另一方面,在现在的DevOps模式下,企业自身的应用可能还有多个版本。在这样的环境下,应用防护只能为每个客户去定制。何况在API化的环境中,一旦业务逻辑发生了改变,防护方式也会发生改变,那更难以做统一化管理。
所以,我们必须先对流量进行精分。流量精分最大的风险和处理问题就是在于要对数十G的流量进行精分。在这个过程中,无论是延迟、性能,甚至是攻击者利用精分规则故意改变攻击模式,都会产生新的攻击隐患。将这些要求叠加在一起以后,F5确实是能解决这些需求的选择之一。
评:F5之前是由于自身客户的需求,在自己负载均衡和应用交付的基础上顺手增加了安全防护,而非作为单独的安全产品。如今,F5由于解决方案越发成熟,将这套方案拓展到非F5客户。
F5的防御方法——东西流量的灰度精分
安全牛:您刚刚总共提出了两个主张,这对其他人从零开始理解F5的安全打了一定的基础,具体的防护方法是怎样的呢?
吴静涛:第一点是先做东西流量精分后的灰度防护。这一点的难度在于厂商能否扛住大流量的吞吐。另一个难点就是是否有能力去做这个精分。现在没有一个明确的规范规定如何精分,所以还是需要有人先去了解应用以后,才能做精分。因此,这是一个产品、功能加服务的解决方案,而不是直接将设备、配置给客户就结束了。
评:F5的第二个理念——去做流量精分之后的灰度防护其实是一个相当大的挑战。大流量的吞吐能力、对复杂的灰度流量进行精分,是达成这个理念的关键——这也恰恰是F5的第一大防御能力。另一方面,由于不同企业环境不同,F5提供的是产品+服务的解决方案。
F5的防御方法——DevOps模型下的无探针可视化
安全牛:第二个防御方法又是什么呢?
吴静涛:第二点是在DevOps模型下的可视化。我要特别提出一点:在理解F5的理念和能力的时候,要结合F5的客户群体才行。一般的大型互联网企业,他们的DevOps都是基本成型的——即从研发、测试到运维一体化。在他们这样的体系里,是能很容易实现DevOps的可视化的。在DevOps的流程中,有很重要的一个部分叫做“监控(monitor)”。监控部分最实用的技术叫做APM技术(Application Performance Management)。但是,APM这个技术需要在应用上打log,去实现整个应用的可视化。
安全牛:F5的客户群体不是这样的吗?
吴静涛:确实是不同的。在F5的客户群体里,不能在应用里直接打log。第一,应用里打log会造成性能的下降。第二,运维人员无法运维APM,因为运维人员无法得知应用里哪里打了点。
安全牛:在这种情况下,这些企业的DevOps如何实现?
吴静涛: F5能实现的,就是做安全可控的、无探针的、对应用透明的大数据采集技术。我们有两个最基本的功能可以做到可视化。第一个功能就是iRules。举个例子,在BI(Business Intelligence)的时候,或者在做应用性能管理的时候,要对应用做定制,毕竟要先了解这个应用。但是对应用做定制是要收费的,每定制一次这样的业务点,都要付上万费用。问题是客户可能有几百个应用,何况在迭代过程中这些点还可能发生改变,那成本就非常高了。
然而,用户直接通过F5的iRules脚本对应用进行分析。iRules的脚本是可视的,客户也可以根据需求自己去任意修改脚本。同时,这个脚本又很简单,任何一个客户自己的工程师都可以用iRules——毕竟最了解自己产品的人是自己。客户不需要任何业务定制,就能拿到这些关键的业务信息,自己能随便修改的东西,这才是真正的可控。从安全角度上,就是客户对自己的安全可控。所以说,我们F5提供的,是安全可控的、无探针、对应用透明的大数据采集技术。
第二项是High Speed Logging的特别技术。这个技术能每秒钟打出几十万个log,给后面的大数据平台做记录。
安全牛:这个功能从理解上来说挺正常的,但是量级上感觉很难。
吴静涛:对,难度就在于量级,几十个G的吞吐量能有几个厂商能做到?F5正好是其中之一,因为F5本身就是做大吞吐的,所以对我们来说是一件很正常的需求。
安全牛:那iRules和High Speed Logging的价值是什么?和其他厂商相比,F5的这两个技术的独特之处在哪?
吴静涛:从实现的角度来说,就是安全可控的、无探针的、对应用透明的大数据采集技术以及高速、实时、大流量吞吐的log输出技术。我为什么之前说流量精分很重要,因为要把那么大的流量拿到,再做应用分析,再进行采集,最后做成log——这个谁能做到?绝大部分的APM公司、BI公司都存在非常复杂的应用定制过程与数据采集之后的分解过程,而我们客户反馈给我们的是我们F5做的是T+0的数据。因为他们做过验证,真的是数据一过,F5的log就发送出来了。但是一些NPM技术,数据过去后,要1分钟以后才能出来。
所以,客户认为,像F5的这种实时数据采集技术,在实时业务风控决策系统上,是极其关键的。以实时贷款为例,如果1分钟才能出结果,那这个时候贷款都已经发出去了。但是,F5是实时给出结果的。
评:在对流量进行精分的基础上,F5完成了无探针的DevOps模式下的可视化,在保证客户隐私、性能的基础上,帮助客户做好“监控”这个点。F5的两大功能:iRules帮助客户做到了自身安全的可管控;High Speed Logging则做到了T+0的结果输出。
F5的防御方法——基于机器学习的攻击防护、API接口管理
安全牛:剩下两个防护方法是什么?
吴静涛:第三个是基于机器学习做攻击防护。如果大数据平台做完了机器学习,就可以做AIOps里最重要的根因分析。另一方面,F5的客户是网状结构——因为API的调用都是通过F5的,所以客户是可以通过F5把应用的关联性给拓扑出来的。因此,任何一个点的性能下降,都是可以在F5这边显示出来的。那如果发现了问题点,能进行的操作就无外乎是弹性扩容、连接管理、带宽管理,或者就是修改代码——所以本质上只要能找到问题点,问题就已经解决了1/3了。如果问题是弹性扩容,那基本上问题的1/3又解决了。但有些可能确实是代码的问题,只能修改代码,快速迭代解决了。
在这基础上,F5就提供了第四个方法——API接口管理。F5的每个配置,都能通过API解决。这就意味着,如果后台的大数据平台,经过根因分析之后,发现需要弹性扩容,那为什么我不能之前就写好所有弹性扩容的脚本,然后在分析完之后弹窗,告知这个点出现的问题建议进行弹性扩容,让客户确认。一旦客户确认,所有的API控制F5,把流量进行扩容。我们在之前的交流会中提到,F5的客户是不允许全自动的,一定要人进行控制。那现在所有的分析都做完,解决方案也给出,只需要一个按键,点了以后实时就实行。
我们认为,这才是真正的AIOps。现在绝大多数在市场上能听到的AIOps,实际上都仅仅做了态势感知而已——就是做了机器学习,做了展现。但是,AIOps的核心是Ops,而不是AI。所以,F5现在实现了通过API一键操作、一键配置、一键运维等一系列的一键操作,事实上,是真正AIOps的模型。
评:F5的第三和第四个防护方法放在一起看更能体现它们的价值:做机器学习的安全公司很多,但是很多却局限于将机器学习作为分析的工具;F5的机器学习则不止步于此,在分析、呈现后,进一步去做防护,完成整个AIOps的流程。
F5的四大能力概括
安全牛:刚开始听您说的不做统一的安全策略感觉上是非常诧异,完全颠覆现在的观念。但听您这么一分析,感觉确实是从F5自身独特的客户需求和不同的实际场景出发得出的一种理念。
安全牛:从实现的方法上来看,F5是先做东西流量的灰度精分;然后在DevOps模式下做可视化,通过iRules和High Speed Logging实现安全可控的、无探针、对应用透明的大数据采集技术,同时和后台的机器学习、根因分析、或者AIOps做行为模式的判断进行攻击防护,最后一旦发现了根因,F5可以通过API实现实时的一键配置变更。
吴静涛:是的,那您从安全牛的角度如何看F5的这个解决方案?
安全牛:我现在对F5的理解是这样的:F5的能力是基于了F5的产品本身(负载均衡、应用交付),并不是特定专门去做了安全。但是,在F5这个位置和产品定位上,本身就可以通过加入一些能力,解决很多安全问题,而客户则不需要购买、使用额外的产品来达成这样的安全效果。所以F5相当于在这个位置上,占了解决这些问题的位置优势。
吴静涛:没错,可以这么理解。
F5的四大防护能力
评:F5的前两大能力是对安全态势的感知与把握,后两大能力则是针对安全态势进行攻防落地——通过机器学习找到最佳解决策略,在安全人员了解安全态势的基础上,根据建议策略进行API的一键攻防。
F5的安全价值
安全牛:还有一个问题,我现在感觉F5帮企业做完了安全防护的前面一部分——将本来混沌模糊的安全态势给梳理清楚,然后上报给客户,客户从而可以直接根据详细的状况进行防护。那F5不直接提供安全防护工具吗?
吴静涛:实际上F5也提供防护方法。但是,我要强调的是,这些防护方法其实网上都有,企业本身也有各种安全工具,甚至自己编写都是可以的——关键是如何看清这个问题才是第一位的。所以,F5是先做可视化,再做精分,然后在大压力情况下进行防护。
另外,F5的产品+服务的模型可以在提交给客户以后,客户自己能掌握使用的。而且,如果应用发生变更,客户是可以自己进行修改调整的,而不是完全需要依靠厂商。我们的iRules是没有加密的,全是明文,所以只要我交付了,客户完全看得懂,完全能修改,加上自己需要的功能。F5的观念是要让客户能根据自己的具体情况把我们的产品用好,这是我们认为的安全可控。
安全牛:原来是这样。谢谢您今天有时间接受我们的采访,真的是获得了很多有价值的观点,从不一样的角度去看安全。
安全牛评
F5在安全的发力其实让我们看到另一个不同角度的安全策略。安全牛对F5在安全能力上的观点是这样的:F5并不是一个传统的安全公司,而是更多是在完善自己产品、解决自己客户需求的时候加强了自己的安全能力,从而能为用户提供所需的安全解决方案和服务。从这个角度来看,安全不应该只是一种产品,同时应该是一种能力——不应该总是依赖于专门的安全产品进行防御,而是产品本身能做到安全防护。
从F5的角度来看,无论是流量精分、DevOps下的无探针可视化、机器学习、还是API一键配置,都是在进行负载均衡与业务交付中的必然产物——而也正是F5产品在网络中的独特位置,使得F5可以从不同的方式,同时又是一个很合适的位置来解决客户的一些安全需求。所以,尽管F5的安全解决方案看似点状,不成体系,但其实是基于F5独特的位置,根据自身的能力,在完善自身产品的基础上加上了安全的防护,帮助自己的客户在更严苛的规范下完成了安全防护工作。
