應(yīng)用交付的安全之惑

　　在很多企業(yè)中，應(yīng)用交付產(chǎn)品已經(jīng)成為IT環(huán)境中必不可少的設(shè)備。作為應(yīng)用業(yè)務(wù)的核心，應(yīng)用交付產(chǎn)品可以監(jiān)控2~7層的完整信息，甚至可以將用戶的文件緩存到其內(nèi)存中。由此可見，應(yīng)用交付產(chǎn)品自身的安全性非常重要。一旦應(yīng)用交付產(chǎn)品出現(xiàn)安全問題，就意味著攻擊者可以隨意查看業(yè)務(wù)內(nèi)容，隨時修改、終止業(yè)務(wù)的傳輸，將給用戶業(yè)務(wù)帶來巨大損失。

　　在2012年，F(xiàn)5 BIG-IP設(shè)備被披露其文件系統(tǒng)存在一組公開的SSH公私密鑰對，利用該漏洞可以獲得遠(yuǎn)程設(shè)備的管理權(quán)，并能進(jìn)一步發(fā)起攻擊。

　　從用戶角度看，用戶正變得越來越理性，他們希望獲得能夠滿足企業(yè)需求的整體解決方案，而不是簡單地選擇某個產(chǎn)品。2011年APT出現(xiàn)后，在安全界，攻守雙方都發(fā)生了很大改變，進(jìn)攻方把攻擊過程和攻擊技術(shù)幾乎都轉(zhuǎn)到應(yīng)用層，防守方也把應(yīng)用交付視為保證業(yè)務(wù)可用性的關(guān)鍵元素之一。所以，現(xiàn)今用戶對于應(yīng)用交付產(chǎn)品的安全性提出了更高的要求。

　　順應(yīng)用戶的需求，主流應(yīng)用交付廠商越來越重視自身設(shè)備的安全問題，并著手增加更多的安全功能。F5在2011年推出了主打安全功能的BIG-IPv10.1版本，2012年推出安全移動設(shè)備解決方案，思杰在2012年發(fā)布了WEB應(yīng)用云安全產(chǎn)品。讓應(yīng)用交付更安全，已經(jīng)成為應(yīng)用交付的重要發(fā)展趨勢之一。

　　無縫融合

　　通過融入諸多安全功能，應(yīng)用交付產(chǎn)品變得越發(fā)強(qiáng)大，可以在網(wǎng)絡(luò)中發(fā)揮更大的作用。首先，它可以成為阻止DDoS攻擊的第一道防線。合理配置的應(yīng)用交付產(chǎn)品可以很好地應(yīng)對DDoS攻擊，其工作在TCP代理模式下，可通過代理、cookie等技術(shù)有效識別攻擊者身份，并進(jìn)一步阻斷DDoS攻擊。其次，應(yīng)用交付產(chǎn)品在做智能DNS及全局負(fù)載均衡部署時，可輕松擴(kuò)展DNS服務(wù)器的響應(yīng)能力，通過對DNS報文的合規(guī)檢查，以及DNS報文的速率控制，可以大幅度減少緩存投毒、域名劫持、中間人攻擊和DNS FLOOD攻擊的威脅。第三，可進(jìn)行SSL加密內(nèi)容檢測。傳統(tǒng)的防火墻、入侵檢測和IPS等設(shè)備的特征碼技術(shù)無法檢測SSL加密流量，而應(yīng)用交付產(chǎn)品提供的SSL卸載功能，不但能減輕后臺服務(wù)器的負(fù)擔(dān)，還可對卸載后的數(shù)據(jù)進(jìn)行安全檢測，阻斷攻擊報文;最后，保證WEB安全。應(yīng)用層的安全面臨多種挑戰(zhàn)，包括：Cookie偽裝、非法掃描、SQL注入、跨站腳本攻擊、緩沖區(qū)溢出等等。當(dāng)這些攻擊行為發(fā)生時，應(yīng)用交付產(chǎn)品首當(dāng)其沖。七層應(yīng)用交付產(chǎn)品工作在全代理模式，用戶發(fā)送的訪問請求會先在應(yīng)用交付產(chǎn)品上截止，通過協(xié)議解析功能，應(yīng)用交付系統(tǒng)能夠識別應(yīng)用協(xié)議的具體內(nèi)容，理所當(dāng)然的能夠在與服務(wù)器建立連接前將攻擊報文攔截下來，而不是不加區(qū)分的將合法請求與非法訪問通通轉(zhuǎn)發(fā)到后端服務(wù)器。

　　作為國內(nèi)領(lǐng)先的信息安全廠商，啟明星辰敏銳地把握住應(yīng)用交付市場的發(fā)展動態(tài)，憑借在信息安全領(lǐng)域的深厚積累和巨大優(yōu)勢，在國內(nèi)廠商中率先推出了安全的應(yīng)用交付設(shè)備。

　　實際上，啟明星辰早在2009年就開始關(guān)注應(yīng)用交付產(chǎn)品市場，并開展了對應(yīng)用交付產(chǎn)品的預(yù)研，2012年正式開始硬件選型及產(chǎn)品研發(fā)，2013年正式推出應(yīng)用交付產(chǎn)品，產(chǎn)品形態(tài)主要包括：多鏈路負(fù)載均衡、全局流量負(fù)載均衡、服務(wù)器流量負(fù)載均衡和廣域網(wǎng)加速等，產(chǎn)品性能涵蓋了2G~80G的各個層次，能夠滿足從中小企業(yè)到運營商等各種類型用戶的需求。

　　2012年，中國負(fù)載均衡/應(yīng)用交付市場規(guī)模約15億人民幣，但絕大部分的份額都被國外廠商占據(jù)，國內(nèi)信息安全廠商的介入將重塑市場格局。

　　市場生力軍

　　在傳統(tǒng)意義上，應(yīng)用交付是由數(shù)據(jù)通信廠商所把控的領(lǐng)域，信息安全廠商進(jìn)入這一市場，雖然自身有獨到之處，但仍需扭轉(zhuǎn)用戶的傳統(tǒng)觀念，化解諸多質(zhì)疑。仔細(xì)剖析應(yīng)用交付市場，我們可以發(fā)現(xiàn)，近幾年，負(fù)載均衡技術(shù)其實并沒有太多更新，而用戶關(guān)注的重點已經(jīng)轉(zhuǎn)向7層應(yīng)用，但應(yīng)用層并不是數(shù)據(jù)通信廠商的強(qiáng)項。反觀信息安全廠商，在做應(yīng)用安全時已經(jīng)奠定下應(yīng)用識別和處理的基礎(chǔ)，應(yīng)用交付由此成為安全廠商著力開拓的新市場就顯得順理成章，預(yù)計未來會有更多信息安全廠商進(jìn)入應(yīng)用交付領(lǐng)域。

　　對信息安全廠商而言，要想推出一款成功的應(yīng)用交付設(shè)備，僅僅突出安全功能是遠(yuǎn)遠(yuǎn)不夠的，還必須在傳統(tǒng)功能、性能、可靠性方面達(dá)到與數(shù)據(jù)通信廠商相當(dāng)?shù)乃健Ｒ詥⒚餍浅綖槔瑔⒚餍浅绞菄鴥?nèi)第一個推出萬兆UTM產(chǎn)品的安全廠商，并且在2012年已經(jīng)將全線產(chǎn)品提升至萬兆水平。在多核線性化技術(shù)方面，啟明星辰具備多年的技術(shù)積累，并有專門的性能優(yōu)化小組進(jìn)行不斷的研究，優(yōu)化MIPS多核和X86多核平臺的性能。因此，推出高性能、高可靠性的應(yīng)用交付產(chǎn)品對啟明星辰來說可謂駕輕就熟。

　　本土應(yīng)用交付廠商在與國際廠商同臺競爭時還有一些先天的優(yōu)勢，體現(xiàn)在響應(yīng)速度、服務(wù)能力等方面。應(yīng)用交付是與業(yè)務(wù)強(qiáng)相關(guān)的產(chǎn)品，廠商必須要對用戶的應(yīng)用系統(tǒng)有深入的了解，而且用戶的應(yīng)用系統(tǒng)經(jīng)常會有一些變化，這就需要應(yīng)用交付廠商具備快速響應(yīng)能力和提供更周到服務(wù)的能力，而這正是本土廠商擅長的領(lǐng)域。另外，對政府、軍隊、公安等重點行業(yè)的用戶而言，國產(chǎn)應(yīng)用交付產(chǎn)品為他們提供了更多的選擇。

　　在3-5年內(nèi)，國產(chǎn)應(yīng)用交付產(chǎn)品有望占據(jù)國內(nèi)市場15%-20%的份額，打破目前國外廠商一統(tǒng)天下的格局。其中，具備強(qiáng)大安全功能的應(yīng)用交付產(chǎn)品將成為一支主力軍。安全為應(yīng)用交付插上了騰飛的翅膀，而應(yīng)用交付讓安全變得更加智能。