标签：API F5 DevOps 防护 安全 客户 吴静涛 精分

去年12月，疑似***组织 “Anonymous” 对全球银行发起七层DDoS***，我国也有多家银行在***名单之列。然而，多家银行使用的传统安全架构的防火墙和WAF等多款产品都没能拦截此次***。在这种情况下，F5的工程师们临危受命，在多个现场与客户一起进行防护，帮助客户成功度过这次危机。

尽管F5在安全领域有这样成绩，同时也有自己的Advanced WAF（API安全）产品，并且在Gartner和Forrester的魔力象限中都处于领导者位置，但是人们对于F5的了解更多停留于负载均衡与应用交付。带着对F5安全方案进一步了解的想法，安全牛记者有幸采访到了F5大中华区技术负责人吴静涛。

被采访人介绍：

吴静涛

F5大中华区-技术负责人

吴静涛有深厚的一线安全***经验。在中国第一次被SYN***时，曾在现场进行防护；在Tom.com真实IP第一次遭到connection***时，也参与了防护。

并非用统一的安全策略？——F5的安全理念之一

安全牛

F5更多给用户的感觉是应用交付的世界领导厂商，在安全方面很少听到你们的声音，我相信很多甲方客户也会有类似的想法。能不能从一个零了解的角度开始，讲一下F5的安全防护呢？

吴静涛：我觉得如果要从零了解的程度开始说，首先要先表示F5的安全理念。F5的安全理念比较独特，有两个点：首先，我们并不是用统一的安全策略帮助客户做安全防护；第二，F5更希望对客户的主营业务能做出流量精分之后的灰度防护。

安全牛

第一个理念听上去和现在的主流背道而驰，为什么会有这样的理念呢？

吴静涛：这个理念不是由F5造成的，而是产生于业界的真实需求。现在，几乎所有安全厂商的习惯都是在数据中心构建一个安全策略，在确认完以后可以一次性下发，然后整个组织结构都能被统一的安全结构给防御住——在这一点上F5是完全认同的。

安全牛

既然这样，为什么还有 “不用统一的安全策略” 的理念呢？

吴静涛：这是因为虽然统一防护能把八九成的防护都做完，但是现在市场上有两个变化让F5有这样的策略。第一个变化，是***的效率。***的效率在之前，是以天、以小时为单位进行的，现在则是以分、秒为单位进行。另外，现在DDoS的***也并非是纯连接的***。首先，源地址是真实的；其次，***者也是对应用自身做了分析，能更有效地对企业进行***。

安全牛

一旦碰到这种情况，从哪个点来防御效果会最好呢？

吴静涛：从客户的部门来看，网络运维无法得知应用对应的URL，研发部门却没有权限去配置F5的设备，但修改代码又会产生审核的问题。从结构角度来看，就是最佳的防御点。但是，在快速的***环境中，安全人员在WAF的界面快速去改变配置也是来不及的。另一方面，使用F5的大客户是不允许没经过验证的配置上线的。

安全牛

那这里就有一个矛盾了：没见过的***，就没有直接可用的防护方式；要进行防护，那就需要改变配置，但是没验证的改变配置却无法上线。

吴静涛：对，所以我们认为未来，在快速***转化的时候，一定会出现一些新的职能部门，比如SecOps，能够在***过程中快速进行变化，从而以更好的方式适应这些新的***。

我们更偏向于认为F5是帮助客户做***的，而不只是做合规。统一的安全策略更好的是做合规，而不是做***。但在整个***模式中，如果***先发生了变化，那防护必须要跟上。这个就是我想提出的第一个理念：F5并不是用统一的安全策略帮助客户做安全防护——这个理念虽然听上去很惊悚，但是有其合理性。

评：

F5并非否定现在统一安全管理的理念，而是弥补了统一安全管理理念的不足：在高速***的环境下，配置的变更还需要验证以后才能上线。因此，F5的第一个安全理念尽管看似离经叛道，实际上为了解决更加严苛环境中的安全问题的方案。

流量精分之后的灰度防护——F5的安全理念之二

安全牛

第二点流量精分之后的灰度防护能具体介绍一下吗？

吴静涛：现在的网络上的流量灰度很大。首先有不同的浏览器、本地应用模型，甚至一些小程序还有不同渠道的发布版本。同时，不同浏览器（比如手机和电脑）的行为模式又是完全不同的。另一方面，在现在的DevOps模式下，企业自身的应用可能还有多个版本。在这样的环境下，应用防护只能为每个客户去定制。何况在API化的环境中，一旦业务逻辑发生了改变，防护方式也会发生改变，那更难以做统一化管理。

所以，我们必须先对流量进行精分。流量精分最大的风险和处理问题就是在于要对数十G的流量进行精分。在这个过程中，无论是延迟、性能，甚至是***者利用精分规则故意改变***模式，都会产生新的***隐患。将这些要求叠加在一起以后，F5确实是能解决这些需求的选择之一。

评：

F5之前是由于自身客户的需求，在自己负载均衡和应用交付的基础上顺手增加了安全防护，而非作为单独的安全产品。如今，F5由于解决方案越发成熟，将这套方案拓展到非F5客户。

F5的防御方法——东西流量的灰度精分

安全牛

您刚刚总共提出了两个主张，这对其他人从零开始理解F5的安全打了一定的基础，具体的防护方法是怎样的呢？

吴静涛：第一点是先做东西流量精分后的灰度防护。这一点的难度在于厂商能否扛住大流量的吞吐。另一个难点就是是否有能力去做这个精分。现在没有一个明确的规范规定如何精分，所以还是需要有人先去了解应用以后，才能做精分。因此，这是一个产品、功能加服务的解决方案，而不是直接将设备、配置给客户就结束了。

评：

F5的第二个理念——去做流量精分之后的灰度防护其实是一个相当大的挑战。大流量的吞吐能力、对复杂的灰度流量进行精分，是达成这个理念的关键——这也恰恰是F5的第一大防御能力。另一方面，由于不同企业环境不同，F5提供的是产品+服务的解决方案。

F5的防御方法——DevOps模型下的无探针可视化

安全牛

第二个防御方法又是什么呢？

吴静涛：第二点是在DevOps模型下的可视化。我要特别提出一点：在理解F5的理念和能力的时候，要结合F5的客户群体才行。一般的大型互联网企业，他们的DevOps都是基本成型的——即从研发、测试到运维一体化。在他们这样的体系里，是能很容易实现DevOps的可视化的。在DevOps的流程中，有很重要的一个部分叫做“监控（monitor）”。监控部分最实用的技术叫做APM技术（Application Performance Management）。但是，APM这个技术需要在应用上打log，去实现整个应用的可视化。

安全牛

F5的客户群体不是这样的吗？

吴静涛：确实是不同的。在F5的客户群体里，不能在应用里直接打log。第一，应用里打log会造成性能的下降。第二，运维人员无法运维APM，因为运维人员无法得知应用里哪里打了点。

安全牛

在这种情况下，这些企业的DevOps如何实现？

吴静涛： F5能实现的，就是做安全可控的、无探针的、对应用透明的大数据采集技术。我们有两个最基本的功能可以做到可视化。第一个功能就是iRules。举个例子，在BI（Business Intelligence）的时候，或者在做应用性能管理的时候，要对应用做定制，毕竟要先了解这个应用。但是对应用做定制是要收费的，每定制一次这样的业务点，都要付上万费用。问题是客户可能有几百个应用，何况在迭代过程中这些点还可能发生改变，那成本就非常高了。

然而，用户直接通过F5的iRules脚本对应用进行分析。iRules的脚本是可视的，客户也可以根据需求自己去任意修改脚本。同时，这个脚本又很简单，任何一个客户自己的工程师都可以用iRules——毕竟最了解自己产品的人是自己。客户不需要任何业务定制，就能拿到这些关键的业务信息，自己能随便修改的东西，这才是真正的可控。从安全角度上，就是客户对自己的安全可控。所以说，我们F5提供的，是安全可控的、无探针、对应用透明的大数据采集技术。

第二项是High Speed Logging的特别技术。这个技术能每秒钟打出几十万个log，给后面的大数据平台做记录。

安全牛

这个功能从理解上来说挺正常的，但是量级上感觉很难。

吴静涛：对，难度就在于量级，几十个G的吞吐量能有几个厂商能做到？F5正好是其中之一，因为F5本身就是做大吞吐的，所以对我们来说是一件很正常的需求。

安全牛

那iRules和High Speed Logging的价值是什么？和其他厂商相比，F5的这两个技术的独特之处在哪？

吴静涛：从实现的角度来说，就是安全可控的、无探针的、对应用透明的大数据采集技术以及高速、实时、大流量吞吐的log输出技术。我为什么之前说流量精分很重要，因为要把那么大的流量拿到，再做应用分析，再进行采集，最后做成log——这个谁能做到？绝大部分的APM公司、BI公司都存在非常复杂的应用定制过程与数据采集之后的分解过程，而我们客户反馈给我们的是我们F5做的是T+0的数据。因为他们做过验证，真的是数据一过，F5的log就发送出来了。但是一些NPM技术，数据过去后，要1分钟以后才能出来。

所以，客户认为，像F5的这种实时数据采集技术，在实时业务风控决策系统上，是极其关键的。以实时贷款为例，如果1分钟才能出结果，那这个时候贷款都已经发出去了。但是，F5是实时给出结果的。

评：

在对流量进行精分的基础上，F5完成了无探针的DevOps模式下的可视化，在保证客户隐私、性能的基础上，帮助客户做好“监控”这个点。F5的两大功能：iRules帮助客户做到了自身安全的可管控；High Speed Logging则做到了T+0的结果输出。

F5的防御方法——基于机器学习的***防护、API接口管理

安全牛

剩下两个防护方法是什么？

吴静涛：第三个是基于机器学习做***防护。如果大数据平台做完了机器学习，就可以做AIOps里最重要的根因分析。另一方面，F5的客户是网状结构——因为API的调用都是通过F5的，所以客户是可以通过F5把应用的关联性给拓扑出来的。因此，任何一个点的性能下降，都是可以在F5这边显示出来的。那如果发现了问题点，能进行的操作就无外乎是弹性扩容、连接管理、带宽管理，或者就是修改代码——所以本质上只要能找到问题点，问题就已经解决了1/3了。如果问题是弹性扩容，那基本上问题的1/3又解决了。但有些可能确实是代码的问题，只能修改代码，快速迭代解决了。

在这基础上，F5就提供了第四个方法——API接口管理。F5的每个配置，都能通过API解决。这就意味着，如果后台的大数据平台，经过根因分析之后，发现需要弹性扩容，那为什么我不能之前就写好所有弹性扩容的脚本，然后在分析完之后弹窗，告知这个点出现的问题建议进行弹性扩容，让客户确认。一旦客户确认，所有的API控制F5，把流量进行扩容。我们在之前的交流会中提到，F5的客户是不允许全自动的，一定要人进行控制。那现在所有的分析都做完，解决方案也给出，只需要一个按键，点了以后实时就实行。

我们认为，这才是真正的AIOps。现在绝大多数在市场上能听到的AIOps，实际上都仅仅做了态势感知而已——就是做了机器学习，做了展现。但是，AIOps的核心是Ops，而不是AI。所以，F5现在实现了通过API一键操作、一键配置、一键运维等一系列的一键操作，事实上，是真正AIOps的模型。

评：

F5的第三和第四个防护方法放在一起看更能体现它们的价值：做机器学习的安全公司很多，但是很多却局限于将机器学习作为分析的工具；F5的机器学习则不止步于此，在分析、呈现后，进一步去做防护，完成整个AIOps的流程。

F5的四大能力概括

安全牛

刚开始听您说的不做统一的安全策略感觉上是非常诧异，完全颠覆现在的观念。但听您这么一分析，感觉确实是从F5自身独特的客户需求和不同的实际场景出发得出的一种理念。

安全牛

从实现的方法上来看，F5是先做东西流量的灰度精分；然后在DevOps模式下做可视化，通过iRules和High Speed Logging实现安全可控的、无探针、对应用透明的大数据采集技术，同时和后台的机器学习、根因分析、或者AIOps做行为模式的判断进行***防护，最后一旦发现了根因，F5可以通过API实现实时的一键配置变更。

吴静涛：是的，那您从安全牛的角度如何看F5的这个解决方案？

安全牛

我现在对F5的理解是这样的：F5的能力是基于了F5的产品本身（负载均衡、应用交付），并不是特定专门去做了安全。但是，在F5这个位置和产品定位上，本身就可以通过加入一些能力，解决很多安全问题，而客户则不需要购买、使用额外的产品来达成这样的安全效果。所以F5相当于在这个位置上，占了解决这些问题的位置优势。

吴静涛：没错，可以这么理解。

F5的四大防护能力

评：

F5的前两大能力是对安全态势的感知与把握，后两大能力则是针对安全态势进行***落地——通过机器学习找到最佳解决策略，在安全人员了解安全态势的基础上，根据建议策略进行API的一键***。

F5的安全价值

安全牛

还有一个问题，我现在感觉F5帮企业做完了安全防护的前面一部分——将本来混沌模糊的安全态势给梳理清楚，然后上报给客户，客户从而可以直接根据详细的状况进行防护。那F5不直接提供安全防护工具吗？

吴静涛：实际上F5也提供防护方法。但是，我要强调的是，这些防护方法其实网上都有，企业本身也有各种安全工具，甚至自己编写都是可以的——关键是如何看清这个问题才是第一位的。所以，F5是先做可视化，再做精分，然后在大压力情况下进行防护。

另外，F5的产品+服务的模型可以在提交给客户以后，客户自己能掌握使用的。而且，如果应用发生变更，客户是可以自己进行修改调整的，而不是完全需要依靠厂商。我们的iRules是没有加密的，全是明文，所以只要我交付了，客户完全看得懂，完全能修改，加上自己需要的功能。F5的观念是要让客户能根据自己的具体情况把我们的产品用好，这是我们认为的安全可控。

安全牛

原来是这样。谢谢您今天有时间接受我们的采访，真的是获得了很多有价值的观点，从不一样的角度去看安全。

安全牛评

F5在安全的发力其实让我们看到另一个不同角度的安全策略。安全牛对F5在安全能力上的观点是这样的：F5并不是一个传统的安全公司，而是更多是在完善自己产品、解决自己客户需求的时候加强了自己的安全能力，从而能为用户提供所需的安全解决方案和服务。从这个角度来看，安全不应该只是一种产品，同时应该是一种能力——不应该总是依赖于专门的安全产品进行防御，而是产品本身能做到安全防护。

从F5的角度来看，无论是流量精分、DevOps下的无探针可视化、机器学习、还是API一键配置，都是在进行负载均衡与业务交付中的必然产物——而也正是F5产品在网络中的独特位置，使得F5可以从不同的方式，同时又是一个很合适的位置来解决客户的一些安全需求。所以，尽管F5的安全解决方案看似点状，不成体系，但其实是基于F5独特的位置，根据自身的能力，在完善自身产品的基础上加上了安全的防护，帮助自己的客户在更严苛的规范下完成了安全防护工作。

标签：API,F5,DevOps,防护,安全,客户,吴静涛,精分
来源： https://blog.51cto.com/u_15127683/2830343

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。