RSA亚太及日本大会近日于新加坡闭幕,作为不断向安全领域拓展的F5以黄金赞助商的身份高调亮相这一安全盛会。细心的人会发现,近几年来,F5的触角已经伸向到众多安全领域,例如像数据中心防火墙服务、应用安全、DNS安全等。
所以,值得关注的是,今天的F5已经很难用单纯的应用交付厂商进行界定.
F5亚太区安全解决方案构架师金飞参加RSA亚太会议后在接受ZDNet的采访中表示,“F5在以数据中心为目标的应用交付的市场里已经处于绝对的优势了,现在F5正在向包括安全在内的更多领域迈进,因为那是一个更广阔的蓝海。”
F5从两三年前开始布局安全,两年来先后收购了LineRate、Versafe、Defense.Net三家安全厂商,金飞直言,“在F5的整个产品线里面,传统的以应用交付为基础的产品占的份额越来越少,而安全产品增长较快,现在已经占到了约三分之二的份额。”
很多人对F5的BIG-IP ASM较为熟悉,它是一个灵活的Web应用防火墙(WAF),可以保护传统、虚拟和私有云环境中的Web应用。在Gartner今年六月底发布的首份Web应用防火墙魔力象限报告中,F5入选挑战者象限,并在执行力上高于唯一处于领导者象限的Imperva,这表现了市场对于F5做安全的认可。
F5安全在市场中的份额也不断提升,金飞说,“在北美,我们已经占到了45%的WAF市场。”
也许很多人会问,从一个应用交付厂商转做安全为什么会如此顺利并且取得了不错的成绩,金飞表示,“因为F5设备部署的位置非常好,它在所有传统防御体系的最后端,在数据库的前端。我们在做到负载均衡极致的情况下,加入安全的特点或模块顺理成章。”
一系列的收购也增强了F5安全的实力,F5收购LineRate后,真正具备了走进七层做安全的能力,“它可以把应用层里面的任何一个唯一标识,作为安全的一个参数进行筛选。”金飞继续说到,而收购Versafe后,可以在终端不装任何插件的情况下,为企业客户提供防欺诈和防钓鱼的保护。最新收购的Defense.Net,让F5具备了提供基于云的安全服务的能力,支持承受DDoS攻击的各种威胁。
统一安全架构的优势
在金飞看来,F5最大的优势是架构上的优势,他说到,“你会发现F5的架构可以兼容很多个产品,在业界找不出任何一个厂商有F5这么强的兼容能力,比如让负载均衡和WAF结合,把DDoS防护、DNS安全、安全接入等融合到一个统一的平台里。包括也可以融合很多围绕应用交付的优化、加速、加解密、SSL卸载等很多功能在里面。”
F5认为,一些竞争性的产品只能解决有限的安全性问题,其他传统的保护方法试图把众多单独的产品拼凑到一起,例如拼凑起DDoS设备、DNS设备、Web应用防火墙以及负载均衡器等。这种方法增加了架构的复杂性和延时,并在网络中添加了故障点。F5提供的是一套动态的、多层次的安全解决方案,这个平台在一套通用系统架构上以软件服务方式提供了多重安全解决方案。
金飞强调,“F5的一体化安全架构不等于One Box,不等于All in One,不等于UTM。”他指出,F5的架构核心的基本点是高可用,设备分为两层,一层设备专门处理网络层,一层处理四到七层,并且链路和链路之间也是冗余的,不会出现单点故障。
从运营上来说,这样的架构还会明显降低成本。“传统来说,企业构建三层的防御体系,要跟很多供应商打交道,像前端的防火墙,中间的IPS/IDS,然后WAF等,运维人员至少要学五六个厂商的产品解决方案和管理界面。”
现在F5统一安全架构平台的综合性也可以减少备件,减少培训并简化运营,金飞说。
F5的机会在云端
对中小型企业来说,面对有限的人力资源和资本,更能体现F5的优势。金飞指出,如果他们只有一个负载均衡的需求,买一台F5的设备回来只用一个License激活负载均衡就可以了。随着业务扩展,企业需要网络加速或七层的防护加一个WAF,再激活License就可以满足需求。
“它非常容易让一个小的客户,从一开始很简单的网络,慢慢成长为一个复杂的网络。”
无论是降低成本还是架构的灵活性,金飞认为F5安全施展的空间很大。不过,他认为以后在云的时代,F5将拥有更大的商业机会。在本次RSA亚太大会上,也体现出了这样的趋势,“随着各种云的增多,如何实现虚拟化环境下防御体系的感知,在云状态下部署安全防护是未来的方向。”
在北美,很多客户开始向虚拟化环境转换,金飞说,一般企业有一条物理的链路,比如前面是传统防火墙、IPS、WAF,后面是数据库。然后它们会建一个并行的资源池。当物理链路上的流量超过50%的时候,自动在虚拟池里建一条链路,虚拟出F5的前端的负载均衡,防火墙、IPS等,然后把50%的流量切过去。
“这个虚拟池可以动态的感知物理链路里面的负载。”金飞说,这是其他厂商所不具备的能力。
F5安全性服务可以由专用硬件上提供,即由多种设备及机架系统提供,也可以由基于软件的虚拟版本提供。并且,F5提供了大量API,iRules,iControl,iCall,iApp,可以实现软件定义的防御体系。
“F5不是一个传统安全厂商,但是我们的硬件和软件以及我们架构在现在这种安全对抗的形势下,我们很有可能是最后一个站在那儿抵抗的人。”金飞坦言,F5是一个安全市场的新人,但凭借讲出的不一样的故事,像应用交付那样,F5领导这个市场不会太远。