最近一两年,企业用户在选择应用交付产品时,除关注性能之外,对交付的安全性给予了更多关注,应用交付主流厂商也更多地将目光聚焦在安全技术上:F5在2011年推出了主打安全功能的BIG-IPv10.1版本,2012年推出安全移动设备解决方案;思杰2012年发布WEB应用云安全产品。
与此同时,安全厂商也嗅到了商机,从安全角度切入应用交付领域,启明星辰就在最近推出了自己的应用交付产品,并在客户中开始试用。
2012年,中国负载均衡/应用交付市场规模约15亿人民币,但90%的份额都被国外厂商占据,其中F5独占45%-50%的市场份额。应用交付与安全技术的融合,让一些安全厂商跃跃欲试,意欲打破该领域国外厂商一家独大的坚冰。
应用交付与安全技术融合之路
应用层安全问题正变得日益突出,应用交付产品设计人员注意到,非常有必要通过应用交付产品构建第一道安全防线。如今,网络攻击已经由传统的3、4层向4、7层扩展,虽然基于IP、协议、端口的4层访问控制已经是防火墙产品的标配,但对于应用交付来说,仅仅支持4层的访问控制还远远不够。应用交付产品需要通过对应用层的协议解析,支持对应用层数据的访问控制,从而使服务器得到更高的安全性。
在用户需求指引下,着眼于保障业务连续性的应用交付技术,开始从解决高可用性逐渐发展到解决应用优化、安全问题。
应用交付产品的技术基础和部署方式为其实现安全功能打下了技术基础。应用交付产品在做4层负载均衡时,协议、IP、接口等信息是其分担技术基础,而 7层负载技术也要求应用交付产品能够完成对应用层协议(如:HTTP、SMTP等协议)的解析。另外,尽管应用交付技术在不断更新,但应用交付的部署位置却从未改变。服务器负载(应用加速、卸载)通常部署在服务器区前端,链路负载通常部署在多链路出口,而这些位置本身也正是传统安全产品防火墙、IPS、 WAF的部署位置。
应用交付产品可以融入哪些安全功能?首先,它可以成为DDoS攻击的第一道防线,通过在应用交付产品上合理配置就可以很好地应对DDoS攻击,应用交付产品工作在TCP代理模式下,可通过代理、cookie等技术有效识别攻击者身份;其次,应用交付产品在做智能DNS及全局负载均衡部署中,可轻松扩展DNS服务器的响应能力,通过对DNS报文的合规检查,以及DNS报文的速率控制,防止DNSflood攻击;第三,可进行SSL加密内容检测,传统的防火墙、入侵检测和IPS等设备的特征码技术在银行的SSL加密流量下并无用处,应用交付产品提供的SSL卸载功能,能减轻后台服务器的负担,并可对卸载后的数据进行安全检测,阻断攻击报文;最后,防护WEB安全,WEB安全的核心是对HTTP报文的解析和处理,应用交付产品部署在服务器前端时,在优化、加速业务的同时,也能并行处理各种安全事务,如:HTTP协议合规性检查,防信息泄露,对各种SQL/XSS进行阻断。
应用交付:安全厂商新领地
在传统意义上,应用交付是属于数通厂商的游戏。安全厂商切入这一领地,凭借什么立足?启明星辰产品管理中心总工沈颖认为,近几年,负载均衡技术其实并没有太多更新,用户关注的重点已经转向7层应用,但应用层并不是数通厂商的强项,而安全厂商在做应用安全时,已经奠定下应用识别和处理的基础,应用交付由此成为安全厂商有待开拓的新领地,预计未来会有更多安全厂商进入应用交付领域。
从用户角度看,用户正变得越来越理性,对需求的把握能力越来越强,更多客户选择产品或方案是受需求驱动,他们希望获得满足企业需求的整体解决方案,而不是简单地选择某个产品。而在今天,用户对于应用产品安全性提出了更高要求。2011年APT出现后,在安全界,攻、守方都发生了很大改变,进攻方把攻击过程和攻击技术几乎都转到应用层,防守方也把应用交付视为保证业务可用性的关键,而可用性本身就是安全的首要因素,安全应是今天的应用交付产品题中应有之意。
对于安全厂商而言,涉足应用交付领域,是否会与之前所开发的产品重复?在应用交付产品中加入安全功能,对原有单一的安全产品是否会造成冲击?对此,启明星辰产品经理谭闯表示,不同用户面对的安全威胁不同,对安全防护的需求也不同,提供不同的产品可以让用户有更多的选择,正如UTM(统一威胁管理)出现后,IPS也依然有自己的市场需求一样。
启明星辰不久前刚刚与网御星云联合发布了下一代安全网关(NGFW+NGUTM),如何看待NGFW和应用交付的功能重合?谭闯表示,NGFW和应用交付确实存在功能重合,但二者侧重点不同,两者应用场景也有较大不同:应用交付产品更倾向于在应用交付的流程之上增加安全性;而安全产品重点是先考虑安全,在安全的基础上为用户提供一定的应用交付功能。未来,照现在的趋势发展,两种产品很可能会完全重合。但目前两者区别还是比较大。
打破国外厂商一统天下的坚冰
目前,中国负载均衡/应用交付市场份额90%都被国外厂商占据,尤其是F5一家独大,约占一半份额。这种布局与十年前的安全市场非常像,随着安全厂商在应用交付领域机遇的到来,越来越多安全厂商希望尽快打破这种坚冰。
实际上,启明星辰早在2009年就开始对应用交付市场进行预演,2010年开始进行产品调研和硬件选型,近期正式推出了应用交付产品,产品形态主要包括:多链路负载均衡、全局流量负载均衡、服务器流量负载均衡和广域网加速等。启明星辰从2012年开始,已经拥有全线万兆产品线,在此基础上,其应用交付产品具备了高可靠性、高性能和安全性,其中安全是最核心的要素之一。
流量负载均衡技术经过多年的发展,已经比较成熟,各厂家并没有太大的差距,而应用交付产品是业务强相关产品,一定要深入了解用户的用户系统,这与传统的应用安全产品有一定的共通性。目前,在应用安全、应用系统优化、应用加速等真正能够提升用户业务系统能力方面,各厂商之间差距较大。启明星辰作为安全厂商得以率先进入应用交付领域,得益于它在安全防护领域的深厚积累。在应用交付的各个环节中,启明星辰最具优势的是安全防护能力,尤其是威胁检测能力一直处于业界领先地位。
对安全厂商而言,进入技术门槛较高的应用交付领域还将面临很多挑战。启明星辰的中期目标是:3-5年内,在中国应用交付市场占有率达到 15%-20%,打破目前国外厂商一统天下的格局,为国产应用交付类产品赢得一席之地。启明星辰还希望,其应用交付产品在国家机密机构有所作为。
作为本土厂商,启明星辰对未来与国际厂商同台竞争很有信心。沈颖表示,启明星辰在响应速度、服务能力方面是国外厂商所无法比拟的。应用交付是业务强相关类产品,厂商一定要对用户应用系统有深入的了解才行,而用户的应用系统常变常新,需要应用交付厂商具备快速响应能力和对用户更贴心的服务能力,启明星辰在服务于本土客户时具备这方面的优势。