“F5一直都是AI赋能的一家厂商,无论是员工办公,还是为客户提供的服务和产品,都已经具备了AI的能力。同时,在AI就绪的F5的产品和服务情况下,我们能够赋能并帮助客户去保护它的AI,并在整个过程中提供技术支持和服务保证。”F5中国区金融和企业事业部技术总监兼安全事业部总经理陈亮日前在接受笔者的采访时说。
事实上,F5进入到中国已经有24年的历程,在所有的过往当中,其一直秉承着深根中国、砥砺前行的理念。在过往的24年当中,F5帮助中国区非常多的客户实现了快速的数字化转型,甚至能够设计更加稳妥的架构,来帮助客户平滑地进行信创的转型。
“前不久,我们有一些金融客户群都在讨论交通银行访问、转账失败的话题,随之而来的是客户投诉。最后经过快速的排查发现:它同时使用两家厂商的产品,并全部存在架构设计、性能和功能的缺陷,以及风险应急处理的不足,造成大面积APP的崩溃。”陈亮透露,基于这个问题,有非常多的金融用户重新转回到F5,但同时也让F5从技术和服务的角度对于自身进行了审视:一方面,坚持向客户传递保证应用安全、可靠和稳定的信念,把全世界最领先的技术方案传递给中国客户;另一方面,提供符合中国政策要求和需求的,包括建设特点的产品和方案。
在陈亮看来,金融客户搞信创要思考两点:核心系统还是边缘的OA系统。这是完全不一样的结果。因为做信创,动核心时就像万米高空飞行的飞机,坚决不能容忍一丝事故的出现,否则影响是巨大的。
“所以F5给他们提供了双轨高回路的架构:国内和国外两个发动机同时工作,先从双轨平稳运行,然后再转入单轨。”陈亮表示,当F5把架构给到客户,客户特别认可,因为风险减少了,信创的步骤也没有变慢。
安全需要运营
2016年国家推出《安全法》之后,公安部牵头组织了全国范围内的护网行动进行攻防演练,其核心目标是希望能提高客户安全事件的处置能力,安全的投入,能够起到真正的对抗的作用。
2016年到目前为止,护网行动有4个非常重要的时期:探索期,主要用一种攻防的方式来提高客户的攻防能力;推广期,行业的覆盖面越来越广,F5收获了大量的客户;稳定期常态化之后,更多是瞄向零日漏洞,把信息作为攻防特点。从客户端的角度来讲,他们也在思考高额的成本按人海战术去提供支持的服务是不可长久的一个手段,此时向自动化进行转变,甚至把新的安全架构进行优化、提升成为主要的趋势。
2024年,随着AI的火热,客户端的IT内部系统也在发生着巨大的变化,无论是多云,还是云原生,我们看到了转型期,传统的攻防手段开始在转型期发生很大的变化,客户有了新的思考。
以前客户都停留在以阻断,打补丁的方式做安全防护,这是特别传统的理念。实际上漏洞在不断地挖掘,不断地产生,一旦发现不了,所有的防护手段都会失效。所以,客户必须通过运营的理念实时的监测、持续的响应,发现新的攻击和新的风险产生以后进行及时的阻断,不断地优化自己的策略。
例如在金融行业,F5从互联网的入口层层迭进,多链路、多中心,然后进入应用,整个链路实现了纵深防御的模型,从出口到内部;同时,F5强调运营的理念,持续监测所有的流量,无论是F5,还是中间的防火墙,通过层次化、纵深防御,再加上大流量的持续监测,客户就可以实时观测攻击,持续响应,最后进行封堵。封堵之后,底层的AWAF做细分处理,颗粒度的策略防护,进而可以减少误报。
另一方面,客户需要持续的优化安全架构。从客户端一直到链路数据中心,再到应用,90%以上的客户都采用一串的架构。
对F5来讲,其有一个SSLO架构,帮助用户把原有所有的安全产品进行池化处理。池化处理之后,面对未知的流量,F5会随机的调用能力,把流量转到相应的设备上进行处理,回流之后再传给应用,极大提高了每个安全的处理能力和效能。
值得一提的是,2023年F5引入了新的能力,即自动化,把开源、静态的分析再结合微软的Sentinel、基于SOAR,更多的智能化分析和自动化处理能力进行结合,这时防护的处理效能比2019年的进一步提高。这些都是F5从架构到自动化,再到智能化的演进过程中,在安全上体现的能力。
攻防变化,促使客户需要新的思考
2024年一些新的攻防变化,也让企业的安全面临更大的挑战:云原生、微服务、容器化在逐渐扩大,产生了更多的API互相请求,需要持续的监测、优化和响应;引入AI大模型,隐藏非常多的安全风险。
F5建议客户有四大安全能力是一定要思考且具备的:自动化能力、持续监控和处置、全栈“兵力”投射以及API加固。
具体对F5来讲,针对这四个方面从架构和能力上为客户赋能:第一,F5是自动化生态的No.1,和所有主流的自动化厂商和工具完美的结合,而且F5的API接口对外开放是百分之百;第二,安全大数据的引擎。所有的流量经过F5处理之后,用户的请求、行为、安全攻击的日志都可以传到第三方平台,F5也有自己的智慧大脑进行分析、判断;第三,One WAAP,一个管理平面控制三个防护工具,简化管理的同时安全部署位置可以随意;第四,API发现与API防护。
对客户来讲,工具是可以随意选择,但无论从架构还是工具本身具备的能力,F5都希望能够帮助客户梳理清楚,通过不同的方式、厂商进行组装,最终形成一个更好的防护。
帮助客户构建AI安全能力
如今,无论是股价还是投资,AI必定是现在要关注的。而且在AI的每个不同阶段,随时都可能有新的工具和能力产生,并改变我们的生活和工作,因此对于企业客户而言,必须基于AI创造自己的价值。
到当客户引入AI时,客户要面临数据、算力和算法的挑战。从安全的角度来看,AI可以赋能业务的创新,同样AI也可以增加更多安全风险。比如说换脸、人脸识别以及模型污染、数据泄露等,这些都随着AI新能力的引入,攻击手段变多了,门槛降低了。
无论是微服务、云原生、还是无服务器架构,都是通过API的形式去调用访问资料。这在AI时代更为明显。比如说数据交换要通过API互相调用;开放系统需要把自己的数据能力开放给别人,按次调用收费……
可预见的是,API流量成为一种超过HTTP流量最主要的一种形式,因此API的防护,也需要思考。
F5在AI的使用和能力具备上已经积累了15年。目前其已经在产品和对外服务上提供了AI的能力。比如说利用F5 GPT,做一定C层能力的处理可以写出特别好的iRules,简化客户的管理;另外,在企业知识库方面,输入查询的内容,即可收获精确的反馈结果;NGINX Plus的功能从架构的设计和配置上也借用了GPT的能力。
此外,2019年通过收购Shape,F5已经具备了一个AI的大脑,每天超过数十亿的信号,在符合《数据安全法》和客户认可的情况下,把安全的信息传递到智慧的大脑,由他们判断和分析。
“如果黑客的手段更新了,我们会通过这些信号的收集,专家的判断以及人工智能的分析进行识别,并提供相应的防护措施建议,把安全的策略、防护的方法进行相应的更新。”陈亮表示,通过不断地优化去减少相应的误报,实时对数据进行展示,从而及时发现攻击,实时、快速的实现防护能力。
也就是说,整个过程F5既要保证大流量的数据安全、稳定进行传输,供大模型进行学习,还要进行AI应用的快速发布,最终帮助客户构建一个快速的分发网络,统一的管理平台和防护策略。
针对API整体的防护架构,F5的策略是:首先基于F5的SaaS服务的模型,从发现到防护,再到监控等,通过SaaS已经具备的模块逐一实现;其次,国内客户独特的需求,不能使用SaaS服务,必须自建。针对于自建客户,可以通过F5的SSLO做流量解密,把它传到第三方的可识别厂商设备,由他们提供服务;经过F5的安全处理、安全防护,包括所有流量再传到第三方的平台进行相应的安全评估,再到后台安全的防护,包括实时展示和预警。
目前,所有在SaaS服务的能力,F5在本地都有合作的厂商提供相应的工具,帮助客户构建出相同的架构。
“从API防护架构的角度来讲,最核心的就是能够发现API,才能对API请求进行防护。只有对所有的请求监测出请求和认证的信息,才能够去实现最后的风险阻断。”陈亮强调,必须能实时的监测每一笔API的请求存在的风险,才能真正实现相应的防护。
总体来看,在SaaS服务的能力中,F5具备了AI自动发现的能力,例如AI自动识别协议、接口符合API请求的规范等;安全执法方面,F5智慧大脑可以提供相应的建议;API方面,F5也可以导出Swagger文件给到客户,按照API的规范不断地优化开发规范,这就是一个有效的联动,更好地提供防护。
写在最后
最近几个月,F5又有了两个特别大的收购动作:分别是Heyhack和WIB。这两笔收购使得F5的API处理能力从右侧向左移——当应用左移之后,所有的源头风险都可以进一步地进行判断,以提高安全性。这对F5来讲,判断客户在开发API的过程中是否已经存在安全隐患,WIB就可以用全生命周期代码进行识别。
而Heyhack是可以在任何一个阶段实时进行扫描安全风险和安全漏洞,使得API全生命周期的管理能力得到完全补充。
“不同领域有不同的安全厂商做不同的事情。Heyhack和WIB的收购,使F5在API防护能力和完善全面性上成为业界领先的厂商。”在陈亮看来,AI的世界里所有的安全厂商如果不具备AI能力,是不足以跟AI进行对抗的。显然F5已经做好了准备——F5有一致性的平台,统一的管理和监督、智能化的分析判断,同时还可以帮助客户的AI快速进行发布。更重要的是,当客户适配不同的云时,可以通过F5识别到任何的位置、快速发布。