應(yīng)用交付的安全之惑

　　在很多企業(yè)中，應(yīng)用交付產(chǎn)品已經(jīng)成為IT環(huán)境中必不可少的設(shè)備。作為應(yīng)用業(yè)務(wù)的核心，應(yīng)用交付產(chǎn)品可以監(jiān)控2~7層的完整信息，甚至可以將用戶的文件緩存到其內(nèi)存中。由此可見(jiàn)，應(yīng)用交付產(chǎn)品自身的安全性非常重要。一旦應(yīng)用交付產(chǎn)品出現(xiàn)安全問(wèn)題，就意味著攻擊者可以隨意查看業(yè)務(wù)內(nèi)容，隨時(shí)修改、終止業(yè)務(wù)的傳輸，將給用戶業(yè)務(wù)帶來(lái)巨大損失。

　　在2012年，F(xiàn)5 BIG-IP設(shè)備被披露其文件系統(tǒng)存在一組公開(kāi)的SSH公私密鑰對(duì)，利用該漏洞可以獲得遠(yuǎn)程設(shè)備的管理權(quán)，并能進(jìn)一步發(fā)起攻擊。

　　從用戶角度看，用戶正變得越來(lái)越理性，他們希望獲得能夠滿足企業(yè)需求的整體解決方案，而不是簡(jiǎn)單地選擇某個(gè)產(chǎn)品。2011年APT出現(xiàn)后，在安全界，攻守雙方都發(fā)生了很大改變，進(jìn)攻方把攻擊過(guò)程和攻擊技術(shù)幾乎都轉(zhuǎn)到應(yīng)用層，防守方也把應(yīng)用交付視為保證業(yè)務(wù)可用性的關(guān)鍵元素之一。所以，現(xiàn)今用戶對(duì)于應(yīng)用交付產(chǎn)品的安全性提出了更高的要求。

　　順應(yīng)用戶的需求，主流應(yīng)用交付廠商越來(lái)越重視自身設(shè)備的安全問(wèn)題，并著手增加更多的安全功能。F5在2011年推出了主打安全功能的BIG-IPv10.1版本，2012年推出安全移動(dòng)設(shè)備解決方案，思杰在2012年發(fā)布了WEB應(yīng)用云安全產(chǎn)品。讓應(yīng)用交付更安全，已經(jīng)成為應(yīng)用交付的重要發(fā)展趨勢(shì)之一。

　　無(wú)縫融合

　　通過(guò)融入諸多安全功能，應(yīng)用交付產(chǎn)品變得越發(fā)強(qiáng)大，可以在網(wǎng)絡(luò)中發(fā)揮更大的作用。首先，它可以成為阻止DDoS攻擊的第一道防線。合理配置的應(yīng)用交付產(chǎn)品可以很好地應(yīng)對(duì)DDoS攻擊，其工作在TCP代理模式下，可通過(guò)代理、cookie等技術(shù)有效識(shí)別攻擊者身份，并進(jìn)一步阻斷DDoS攻擊。其次，應(yīng)用交付產(chǎn)品在做智能DNS及全局負(fù)載均衡部署時(shí)，可輕松擴(kuò)展DNS服務(wù)器的響應(yīng)能力，通過(guò)對(duì)DNS報(bào)文的合規(guī)檢查，以及DNS報(bào)文的速率控制，可以大幅度減少緩存投毒、域名劫持、中間人攻擊和DNS FLOOD攻擊的威脅。第三，可進(jìn)行SSL加密內(nèi)容檢測(cè)。傳統(tǒng)的防火墻、入侵檢測(cè)和IPS等設(shè)備的特征碼技術(shù)無(wú)法檢測(cè)SSL加密流量，而應(yīng)用交付產(chǎn)品提供的SSL卸載功能，不但能減輕后臺(tái)服務(wù)器的負(fù)擔(dān)，還可對(duì)卸載后的數(shù)據(jù)進(jìn)行安全檢測(cè)，阻斷攻擊報(bào)文;最后，保證WEB安全。應(yīng)用層的安全面臨多種挑戰(zhàn)，包括：Cookie偽裝、非法掃描、SQL注入、跨站腳本攻擊、緩沖區(qū)溢出等等。當(dāng)這些攻擊行為發(fā)生時(shí)，應(yīng)用交付產(chǎn)品首當(dāng)其沖。七層應(yīng)用交付產(chǎn)品工作在全代理模式，用戶發(fā)送的訪問(wèn)請(qǐng)求會(huì)先在應(yīng)用交付產(chǎn)品上截止，通過(guò)協(xié)議解析功能，應(yīng)用交付系統(tǒng)能夠識(shí)別應(yīng)用協(xié)議的具體內(nèi)容，理所當(dāng)然的能夠在與服務(wù)器建立連接前將攻擊報(bào)文攔截下來(lái)，而不是不加區(qū)分的將合法請(qǐng)求與非法訪問(wèn)通通轉(zhuǎn)發(fā)到后端服務(wù)器。

　　作為國(guó)內(nèi)領(lǐng)先的信息安全廠商，啟明星辰敏銳地把握住應(yīng)用交付市場(chǎng)的發(fā)展動(dòng)態(tài)，憑借在信息安全領(lǐng)域的深厚積累和巨大優(yōu)勢(shì)，在國(guó)內(nèi)廠商中率先推出了安全的應(yīng)用交付設(shè)備。

　　實(shí)際上，啟明星辰早在2009年就開(kāi)始關(guān)注應(yīng)用交付產(chǎn)品市場(chǎng)，并開(kāi)展了對(duì)應(yīng)用交付產(chǎn)品的預(yù)研，2012年正式開(kāi)始硬件選型及產(chǎn)品研發(fā)，2013年正式推出應(yīng)用交付產(chǎn)品，產(chǎn)品形態(tài)主要包括：多鏈路負(fù)載均衡、全局流量負(fù)載均衡、服務(wù)器流量負(fù)載均衡和廣域網(wǎng)加速等，產(chǎn)品性能涵蓋了2G~80G的各個(gè)層次，能夠滿足從中小企業(yè)到運(yùn)營(yíng)商等各種類型用戶的需求。

　　2012年，中國(guó)負(fù)載均衡/應(yīng)用交付市場(chǎng)規(guī)模約15億人民幣，但絕大部分的份額都被國(guó)外廠商占據(jù)，國(guó)內(nèi)信息安全廠商的介入將重塑市場(chǎng)格局。

　　市場(chǎng)生力軍

　　在傳統(tǒng)意義上，應(yīng)用交付是由數(shù)據(jù)通信廠商所把控的領(lǐng)域，信息安全廠商進(jìn)入這一市場(chǎng)，雖然自身有獨(dú)到之處，但仍需扭轉(zhuǎn)用戶的傳統(tǒng)觀念，化解諸多質(zhì)疑。仔細(xì)剖析應(yīng)用交付市場(chǎng)，我們可以發(fā)現(xiàn)，近幾年，負(fù)載均衡技術(shù)其實(shí)并沒(méi)有太多更新，而用戶關(guān)注的重點(diǎn)已經(jīng)轉(zhuǎn)向7層應(yīng)用，但應(yīng)用層并不是數(shù)據(jù)通信廠商的強(qiáng)項(xiàng)。反觀信息安全廠商，在做應(yīng)用安全時(shí)已經(jīng)奠定下應(yīng)用識(shí)別和處理的基礎(chǔ)，應(yīng)用交付由此成為安全廠商著力開(kāi)拓的新市場(chǎng)就顯得順理成章，預(yù)計(jì)未來(lái)會(huì)有更多信息安全廠商進(jìn)入應(yīng)用交付領(lǐng)域。

　　對(duì)信息安全廠商而言，要想推出一款成功的應(yīng)用交付設(shè)備，僅僅突出安全功能是遠(yuǎn)遠(yuǎn)不夠的，還必須在傳統(tǒng)功能、性能、可靠性方面達(dá)到與數(shù)據(jù)通信廠商相當(dāng)?shù)乃健Ｒ詥⒚餍浅綖槔瑔⒚餍浅绞菄?guó)內(nèi)第一個(gè)推出萬(wàn)兆UTM產(chǎn)品的安全廠商，并且在2012年已經(jīng)將全線產(chǎn)品提升至萬(wàn)兆水平。在多核線性化技術(shù)方面，啟明星辰具備多年的技術(shù)積累，并有專門的性能優(yōu)化小組進(jìn)行不斷的研究，優(yōu)化MIPS多核和X86多核平臺(tái)的性能。因此，推出高性能、高可靠性的應(yīng)用交付產(chǎn)品對(duì)啟明星辰來(lái)說(shuō)可謂駕輕就熟。

　　本土應(yīng)用交付廠商在與國(guó)際廠商同臺(tái)競(jìng)爭(zhēng)時(shí)還有一些先天的優(yōu)勢(shì)，體現(xiàn)在響應(yīng)速度、服務(wù)能力等方面。應(yīng)用交付是與業(yè)務(wù)強(qiáng)相關(guān)的產(chǎn)品，廠商必須要對(duì)用戶的應(yīng)用系統(tǒng)有深入的了解，而且用戶的應(yīng)用系統(tǒng)經(jīng)常會(huì)有一些變化，這就需要應(yīng)用交付廠商具備快速響應(yīng)能力和提供更周到服務(wù)的能力，而這正是本土廠商擅長(zhǎng)的領(lǐng)域。另外，對(duì)政府、軍隊(duì)、公安等重點(diǎn)行業(yè)的用戶而言，國(guó)產(chǎn)應(yīng)用交付產(chǎn)品為他們提供了更多的選擇。

　　在3-5年內(nèi)，國(guó)產(chǎn)應(yīng)用交付產(chǎn)品有望占據(jù)國(guó)內(nèi)市場(chǎng)15%-20%的份額，打破目前國(guó)外廠商一統(tǒng)天下的格局。其中，具備強(qiáng)大安全功能的應(yīng)用交付產(chǎn)品將成為一支主力軍。安全為應(yīng)用交付插上了騰飛的翅膀，而應(yīng)用交付讓安全變得更加智能。