F5安全能力的四大关键词：东西流量精分、DevOps可视化、机器学习、API接口管理

去年12月，疑似黑客组织 “Anonymous” 对全球银行发起七层DDoS攻击，我国也有多家银行在攻击名单之列。然而，多家银行使用的传统安全架构的防火墙和WAF等多款产品都没能拦截此次攻击。在这种情况下，F5的工程师们临危受命，在多个现场与客户一起进行防护，帮助客户成功度过这次危机。

尽管F5在安全领域有这样成绩，同时也有自己的Advanced WAF（API安全）产品，并且在Gartner和Forrester的魔力象限中都处于领导者位置，但是人们对于F5的了解更多停留于负载均衡与应用交付。带着对F5安全方案进一步了解的想法，安全牛记者有幸采访到了F5大中华区技术负责人吴静涛。

被采访人介绍：

吴静涛  F5大中华区-技术负责人

吴静涛有深厚的一线安全攻防经验。在中国第一次被SYN攻击时，曾在现场进行防护；在Tom.com真实IP第一次遭到connection攻击时，也参与了防护。

并非用统一的安全策略？——F5的安全理念之一

安全牛：F5更多给用户的感觉是应用交付的世界领导厂商，在安全方面很少听到你们的声音，我相信很多甲方客户也会有类似的想法。能不能从一个零了解的角度开始，讲一下F5的安全防护呢？

吴静涛：我觉得如果要从零了解的程度开始说，首先要先表示F5的安全理念。F5的安全理念比较独特，有两个点：首先，我们并不是用统一的安全策略帮助客户做安全防护；第二，F5更希望对客户的主营业务能做出流量精分之后的灰度防护。

安全牛：第一个理念听上去和现在的主流背道而驰，为什么会有这样的理念呢？

吴静涛：这个理念不是由F5造成的，而是产生于业界的真实需求。现在，几乎所有安全厂商的习惯都是在数据中心构建一个安全策略，在确认完以后可以一次性下发，然后整个组织结构都能被统一的安全结构给防御住——在这一点上F5是完全认同的。

安全牛：既然这样，为什么还有 “不用统一的安全策略” 的理念呢？

吴静涛：这是因为虽然统一防护能把八九成的防护都做完，但是现在市场上有两个变化让F5有这样的策略。第一个变化，是攻防的效率。攻防的效率在之前，是以天、以小时为单位进行的，现在则是以分、秒为单位进行。另外，现在DDoS的攻击也并非是纯连接的攻击。首先，源地址是真实的；其次，攻击者也是对应用自身做了分析，能更有效地对企业进行攻击。

安全牛：一旦碰到这种情况，从哪个点来防御效果会最好呢？

吴静涛：从客户的部门来看，网络运维无法得知应用对应的URL，研发部门却没有权限去配置F5的设备，但修改代码又会产生审核的问题。从结构角度来看，就是最佳的防御点。但是，在快速的攻防环境中，安全人员在WAF的界面快速去改变配置也是来不及的。另一方面，使用F5的大客户是不允许没经过验证的配置上线的。

安全牛：那这里就有一个矛盾了：没见过的攻击，就没有直接可用的防护方式；要进行防护，那就需要改变配置，但是没验证的改变配置却无法上线。

吴静涛：对，所以我们认为未来，在快速攻防转化的时候，一定会出现一些新的职能部门，比如SecOps，能够在攻防过程中快速进行变化，从而以更好的方式适应这些新的攻防。

我们更偏向于认为F5是帮助客户做攻防的，而不只是做合规。统一的安全策略更好的是做合规，而不是做攻防。但在整个攻防模式中，如果攻击先发生了变化，那防护必须要跟上。这个就是我想提出的第一个理念：F5并不是用统一的安全策略帮助客户做安全防护——这个理念虽然听上去很惊悚，但是有其合理性。

评：F5并非否定现在统一安全管理的理念，而是弥补了统一安全管理理念的不足：在高速攻防的环境下，配置的变更还需要验证以后才能上线。因此，F5的第一个安全理念尽管看似离经叛道，实际上为了解决更加严苛环境中的安全问题的方案。

流量精分之后的灰度防护——F5的安全理念之二

安全牛：第二点流量精分之后的灰度防护能具体介绍一下吗？

吴静涛：现在的网络上的流量灰度很大。首先有不同的浏览器、本地应用模型，甚至一些小程序还有不同渠道的发布版本。同时，不同浏览器（比如手机和电脑）的行为模式又是完全不同的。另一方面，在现在的DevOps模式下，企业自身的应用可能还有多个版本。在这样的环境下，应用防护只能为每个客户去定制。何况在API化的环境中，一旦业务逻辑发生了改变，防护方式也会发生改变，那更难以做统一化管理。

所以，我们必须先对流量进行精分。流量精分最大的风险和处理问题就是在于要对数十G的流量进行精分。在这个过程中，无论是延迟、性能，甚至是攻击者利用精分规则故意改变攻击模式，都会产生新的攻击隐患。将这些要求叠加在一起以后，F5确实是能解决这些需求的选择之一。

评：F5之前是由于自身客户的需求，在自己负载均衡和应用交付的基础上顺手增加了安全防护，而非作为单独的安全产品。如今，F5由于解决方案越发成熟，将这套方案拓展到非F5客户。

F5的防御方法——东西流量的灰度精分

安全牛：您刚刚总共提出了两个主张，这对其他人从零开始理解F5的安全打了一定的基础，具体的防护方法是怎样的呢？

吴静涛：第一点是先做东西流量精分后的灰度防护。这一点的难度在于厂商能否扛住大流量的吞吐。另一个难点就是是否有能力去做这个精分。现在没有一个明确的规范规定如何精分，所以还是需要有人先去了解应用以后，才能做精分。因此，这是一个产品、功能加服务的解决方案，而不是直接将设备、配置给客户就结束了。

评：F5的第二个理念——去做流量精分之后的灰度防护其实是一个相当大的挑战。大流量的吞吐能力、对复杂的灰度流量进行精分，是达成这个理念的关键——这也恰恰是F5的第一大防御能力。另一方面，由于不同企业环境不同，F5提供的是产品+服务的解决方案。

F5的防御方法——DevOps模型下的无探针可视化

安全牛：第二个防御方法又是什么呢？

吴静涛：第二点是在DevOps模型下的可视化。我要特别提出一点：在理解F5的理念和能力的时候，要结合F5的客户群体才行。一般的大型互联网企业，他们的DevOps都是基本成型的——即从研发、测试到运维一体化。在他们这样的体系里，是能很容易实现DevOps的可视化的。在DevOps的流程中，有很重要的一个部分叫做“监控（monitor）”。监控部分最实用的技术叫做APM技术（Application Performance Management）。但是，APM这个技术需要在应用上打log，去实现整个应用的可视化。

安全牛：F5的客户群体不是这样的吗？

吴静涛：确实是不同的。在F5的客户群体里，不能在应用里直接打log。第一，应用里打log会造成性能的下降。第二，运维人员无法运维APM，因为运维人员无法得知应用里哪里打了点。

安全牛：在这种情况下，这些企业的DevOps如何实现？

吴静涛：F5能实现的，就是做安全可控的、无探针的、对应用透明的大数据采集技术。我们有两个最基本的功能可以做到可视化。第一个功能就是iRules。举个例子，在BI（Business Intelligence）的时候，或者在做应用性能管理的时候，要对应用做定制，毕竟要先了解这个应用。但是对应用做定制是要收费的，每定制一次这样的业务点，都要付上万费用。问题是客户可能有几百个应用，何况在迭代过程中这些点还可能发生改变，那成本就非常高了。

然而，用户直接通过F5的iRules脚本对应用进行分析。iRules的脚本是可视的，客户也可以根据需求自己去任意修改脚本。同时，这个脚本又很简单，任何一个客户自己的工程师都可以用iRules——毕竟最了解自己产品的人是自己。客户不需要任何业务定制，就能拿到这些关键的业务信息，自己能随便修改的东西，这才是真正的可控。从安全角度上，就是客户对自己的安全可控。所以说，我们F5提供的，是安全可控的、无探针、对应用透明的大数据采集技术。

第二项是High Speed Logging的特别技术。这个技术能每秒钟打出几十万个log，给后面的大数据平台做记录。

安全牛：这个功能从理解上来说挺正常的，但是量级上感觉很难。

吴静涛：对，难度就在于量级，几十个G的吞吐量能有几个厂商能做到？F5正好是其中之一，因为F5本身就是做大吞吐的，所以对我们来说是一件很正常的需求。

安全牛：那iRules和High Speed Logging的价值是什么？和其他厂商相比，F5的这两个技术的独特之处在哪？

吴静涛：从实现的角度来说，就是安全可控的、无探针的、对应用透明的大数据采集技术以及高速、实时、大流量吞吐的log输出技术。我为什么之前说流量精分很重要，因为要把那么大的流量拿到，再做应用分析，再进行采集，最后做成log——这个谁能做到？绝大部分的APM公司、BI公司都存在非常复杂的应用定制过程与数据采集之后的分解过程，而我们客户反馈给我们的是我们F5做的是T+0的数据。因为他们做过验证，真的是数据一过，F5的log就发送出来了。但是一些NPM技术，数据过去后，要1分钟以后才能出来。

所以，客户认为，像F5的这种实时数据采集技术，在实时业务风控决策系统上，是极其关键的。以实时贷款为例，如果1分钟才能出结果，那这个时候贷款都已经发出去了。但是，F5是实时给出结果的。

评：在对流量进行精分的基础上，F5完成了无探针的DevOps模式下的可视化，在保证客户隐私、性能的基础上，帮助客户做好“监控”这个点。F5的两大功能：iRules帮助客户做到了自身安全的可管控；High Speed Logging则做到了T+0的结果输出。

F5的防御方法——基于机器学习的攻击防护、API接口管理

安全牛：剩下两个防护方法是什么？

吴静涛：第三个是基于机器学习做攻击防护。如果大数据平台做完了机器学习，就可以做AIOps里最重要的根因分析。另一方面，F5的客户是网状结构——因为API的调用都是通过F5的，所以客户是可以通过F5把应用的关联性给拓扑出来的。因此，任何一个点的性能下降，都是可以在F5这边显示出来的。那如果发现了问题点，能进行的操作就无外乎是弹性扩容、连接管理、带宽管理，或者就是修改代码——所以本质上只要能找到问题点，问题就已经解决了1/3了。如果问题是弹性扩容，那基本上问题的1/3又解决了。但有些可能确实是代码的问题，只能修改代码，快速迭代解决了。

在这基础上，F5就提供了第四个方法——API接口管理。F5的每个配置，都能通过API解决。这就意味着，如果后台的大数据平台，经过根因分析之后，发现需要弹性扩容，那为什么我不能之前就写好所有弹性扩容的脚本，然后在分析完之后弹窗，告知这个点出现的问题建议进行弹性扩容，让客户确认。一旦客户确认，所有的API控制F5，把流量进行扩容。我们在之前的交流会中提到，F5的客户是不允许全自动的，一定要人进行控制。那现在所有的分析都做完，解决方案也给出，只需要一个按键，点了以后实时就实行。

我们认为，这才是真正的AIOps。现在绝大多数在市场上能听到的AIOps，实际上都仅仅做了态势感知而已——就是做了机器学习，做了展现。但是，AIOps的核心是Ops，而不是AI。所以，F5现在实现了通过API一键操作、一键配置、一键运维等一系列的一键操作，事实上，是真正AIOps的模型。

评：F5的第三和第四个防护方法放在一起看更能体现它们的价值：做机器学习的安全公司很多，但是很多却局限于将机器学习作为分析的工具；F5的机器学习则不止步于此，在分析、呈现后，进一步去做防护，完成整个AIOps的流程。

F5的四大能力概括

安全牛：刚开始听您说的不做统一的安全策略感觉上是非常诧异，完全颠覆现在的观念。但听您这么一分析，感觉确实是从F5自身独特的客户需求和不同的实际场景出发得出的一种理念。

安全牛：从实现的方法上来看，F5是先做东西流量的灰度精分；然后在DevOps模式下做可视化，通过iRules和High Speed Logging实现安全可控的、无探针、对应用透明的大数据采集技术，同时和后台的机器学习、根因分析、或者AIOps做行为模式的判断进行攻击防护，最后一旦发现了根因，F5可以通过API实现实时的一键配置变更。

吴静涛：是的，那您从安全牛的角度如何看F5的这个解决方案？

安全牛：我现在对F5的理解是这样的：F5的能力是基于了F5的产品本身（负载均衡、应用交付），并不是特定专门去做了安全。但是，在F5这个位置和产品定位上，本身就可以通过加入一些能力，解决很多安全问题，而客户则不需要购买、使用额外的产品来达成这样的安全效果。所以F5相当于在这个位置上，占了解决这些问题的位置优势。

吴静涛：没错，可以这么理解。

F5的四大防护能力

评：F5的前两大能力是对安全态势的感知与把握，后两大能力则是针对安全态势进行攻防落地——通过机器学习找到最佳解决策略，在安全人员了解安全态势的基础上，根据建议策略进行API的一键攻防。

F5的安全价值

安全牛：还有一个问题，我现在感觉F5帮企业做完了安全防护的前面一部分——将本来混沌模糊的安全态势给梳理清楚，然后上报给客户，客户从而可以直接根据详细的状况进行防护。那F5不直接提供安全防护 工具 吗？

吴静涛：实际上F5也提供防护方法。但是，我要强调的是，这些防护方法其实网上都有，企业本身也有各种安全工具，甚至自己编写都是可以的——关键是如何看清这个问题才是第一位的。所以，F5是先做可视化，再做精分，然后在大压力情况下进行防护。

另外，F5的产品+服务的模型可以在提交给客户以后，客户自己能掌握使用的。而且，如果应用发生变更，客户是可以自己进行修改调整的，而不是完全需要依靠厂商。我们的iRules是没有加密的，全是明文，所以只要我交付了，客户完全看得懂，完全能修改，加上自己需要的功能。F5的观念是要让客户能根据自己的具体情况把我们的产品用好，这是我们认为的安全可控。

安全牛：原来是这样。谢谢您今天有时间接受我们的采访，真的是获得了很多有价值的观点，从不一样的角度去看安全。

安全牛评

F5在安全的发力其实让我们看到另一个不同角度的安全策略。安全牛对F5在安全能力上的观点是这样的：F5并不是一个传统的安全公司，而是更多是在完善自己产品、解决自己客户需求的时候加强了自己的安全能力，从而能为用户提供所需的安全解决方案和服务。从这个角度来看，安全不应该只是一种产品，同时应该是一种能力——不应该总是依赖于专门的安全产品进行防御，而是产品本身能做到安全防护。

从F5的角度来看，无论是流量精分、DevOps下的无探针可视化、机器学习、还是API一键配置，都是在进行负载均衡与业务交付中的必然产物——而也正是F5产品在网络中的独特位置，使得F5可以从不同的方式，同时又是一个很合适的位置来解决客户的一些安全需求。所以，尽管F5的安全解决方案看似点状，不成体系，但其实是基于F5独特的位置，根据自身的能力，在完善自身产品的基础上加上了安全的防护，帮助自己的客户在更严苛的规范下完成了安全防护工作。