安全与加速—应用交付的优点

白皮书安全与应用—应用交付的优点F5白皮书安全与加速—应用交付的优点几乎没有一家供应商会认为增加Web应用安全解决方案也会增加延时，而延时是网站最害怕的现象。没有一个网站（尤其是电子商务网站）希望增加用户交互的延时。在保证网站极快运行的同时实现Web应用安全可能听起来像是一个矛盾，但F5可实现这一点。作者：PeterSilva技术营销经理目录序言3安全方面3加速方面4遇到什么问题？5优点6如何协同工作？6结束语1 白皮书安全与应用—应用交付的优点序言这就好像是以前的Reese牌花生酱黄油杯广告，但现在，我们要谈论安全加速，而非糖块。“您已经在我的加速产品中添加了安全”。“是，您的加速产品破坏了我们的安全。”在保证应用安全和预防攻击的同时确保一致的快速用户响应是Web应用的基本要求。然而，Web应用安全过去都是以牺牲速度为代价的。这对在线零售商来说尤其是一个重要问题，因为性能低下可能意味着数百万美元的损失，而且安全漏洞可能极具破坏性。超过70%的消费者称，他们不会再与泄漏他们的敏感信息的公司开展业务。Web应用性能对于企业运作来讲同样至关重要，尤其是对于远程员工来讲，接入企业应用时的缓慢速度可能造成工作效率低下。随着更多的应用采用标准浏览器通过互联网交付，加速Web应用的同时不损害安全性的挑战更加艰巨。确保Web应用安全和性能一般要求多个独立的解决方案，并需要大量的计算资源和人力资源对这些解决方案进行适当配置和管理。由于每个“附加”设备都有其自己的代理执行交易的方式，因此，数据包可能因为TCP和应用处理的额外负荷而造成传输速度缓慢。单个独立封装单元的高速与安全看起来是两个相对的目标，但如果您正在寻找这种绝妙组合，F5可满足您的要求。安全方面截止到2009年3月，63%的网站都有高风险、关键或紧急安全漏洞。据ScanSafe1的报告指出，2008年，旨在盗窃数据的特洛伊木马攻击数量增加了1,559%。从IT角度讲，安全漏洞或者性能低下的Web应用可能产生破坏性的后果。据Ponemon2Institute指出，一次数据泄露的平均成本是660万美元，但是，2007年1月，TJX信3用卡数据泄露使公司损失了超过1.5亿美元。根据PCI和SOX规范要求，如果公司未能保证数据的安全，可能面临高额罚金，甚至入狱。安全几乎一直是CIO最关注的方面。随着互联网的发展，安全问题也不断变化。过去危及第三层和第四层的攻击现在则集中于第七层。窃贼越来越聪明和大胆，常常破坏大型信息仓库，而不是单个数据库。像Web应用防火墙等措施现在已成为必需的要求，尤其是对于PCI法规遵从方面。此外，随着员工越来越多地采用移动办公方式，应用需要在更多地点和更多设备上可用，这使得在不影响工作效率的情况下实现安全的目标更加复杂。对安全的关注始终在提高。考虑一下几年前的情况：浏览器的主要目的是上网冲浪。如今，浏览器已经成为满足个人和专业需求的日常工具。除了通常的Web应用活动外，如订购物品、查看交通和出差预订，我们还提交更多私人数据，例如健康信息和薪资数据。在我们生活的许多方面，浏览器成为了一个密友，因为它帮助在我们的工作和社会圈子内传输极为敏感的数据。敏感数据包括各个方面—在其他人、服务提供商、网站和系统拥有我们的敏感数据时，我们也可能在我们的设备上留有他们的敏感数据。如今的互联网不仅仅是支付账单或者完成工作的功能—它拥有我们用于工作和娱2 白皮书安全与应用—应用交付的优点乐的数字身份。一旦数字身份被放到互联网上，我们就无法收回。我们只是希望有适当的控制措施保证其秘密和安全。加速方面对于零售Web应用和搜索引擎，停机时间或性能低下意味着损失收入。根据WarwickBusinessSchool在2008年的研究报告《ContinuityCentral》指出，搜索引擎故障会使企业付出巨大的代价。意外中断一个小时就可能造成超过500,000美元4的收入损失。对于金融机构来说，数据丢失可能造成数百万美元的损失。系统停机不仅仅带来收入损失。不遵守服务等级协议可导致补救成本或者罚金。不遵守某些法规可导致罚款。此外，对公司品牌声誉的损害—无论是由于业务中断、性能低下还是泄露数据—可能对公司造成长期的有害影响。目前，许多人的家里都有高速连接。但是，应用已经成熟，而且现在为用户提供了丰富的数据，例如视频、Flash和其它多媒体，或者以Web2.0形式提供的内容。如果网站速度缓慢，用户可能会转到别的服务提供商。这种情况一直在发生。您键入一个网址，仅看到浏览器图标在不停地转。您可能会尝试重新加载或重新键入，但通常，您会键入另外一个类似网站的网址。例如，如果您是进行研究、购物或者查看好友的照片，您希望浏览器能够快速加载应用。对于电子商务网站，性能低下通常意味着失去销售机会，因为如果您的购物车不能快速加载，或者在安全的结账过程中操作停止，您可能不会等待。如果是SaaS部署环境中的商业应用，而且您不得不使用缓慢的网站，则这意味着工作效率低下，而且用户会感到受挫。另外，这也意味着IT人员处理故障单时要耗费大量时间。企业用户需要并期望类似LAN的性能，即使他们处于移动状态。如果应用性能较低，业务也会受到损失。遇到什么问题？一般情况下，由于部署的复杂性，保证应用安全可能会以最终用户的工作效率为代价。实施网站安全—例如Web应用防火墙—增加了另外一个调节点，即检验和处理客户端和应用之间的流量。这会自然地增加应用的延时，而延时可能会带来痛苦，因为分散于全球或者以移动方式工作的用户必须克服现有的往返时间长或带宽有限的问题。在客户机和服务器间拥有另外一个接触点或者流程也增加了部署成本。这些成本不仅仅体现在设备上；持续的管理和维护也涉及到费用支出。使用多个设备可能意味着使用多个管理界面，这延长了管理员的学习曲线，并在问题发生时，使故障排除过程更困难。许多公司面临着这种窘境，而且解决方案从来就不简单。公司担心对应用性能产生负面影响，并担心出现问题。Web应用性能和安全管理可能跨越公司内的组织结构，使得所有权孤立，而且模糊。3 白皮书安全与加速—应用交付的优点优点可喜的是，随着BIG-IP®本地流量管理器™(LTM)的BIG-IP®10版本的推出，您现在可以将安全和加速集成到单一设备中。通过为BIG-IPLTM增加BIG-IP®应用安全管理器™(ASM)模块和BIG-IP®WebAccelerator™模块，您不仅能够实现Web应用的安全与加速，而且这种组合提供了更快的部署，并且简化了管理和部署Web应用的流程。这些集成组件提供了轻松保证您的Web应用并进行加速的方式。满足您的所有应用交付需求的单个平台需要并且为应用用户和系统管理员提供了巨大的收益。F5统一的安全和Web应用加速采取单一平台的理念，将接收、检查并执行应用流量作为单一的操作，在尽可能最短的时间内并以最低的复杂性实现。此外，F5的管理GUI允许根据系统管理员的角色授予不同等级的权限（安全管理员、网络管理员等）。这保证了管理员有适当的管理权限，而不向他们授予接入受限的、特定角色管理职能的权限。F5的BIG-IPASM和BIG-IPWebAccelerator组合不是您典型的“集成”功能设备。它是真正的内部系统集成，而不仅仅是多个代理在同一个设备上的联合部署。如何协同工作F5TMOS®架构是所有BIG-IP产品的核心。TMOS使用基于代理的架构，这个架构是专为控制和修改用户与应用之间传输的请求和响应而设计的。TMOS是BIG-IPv10平台的基础，提供了基本的网络功能，并在需要时调用BIG-IP模块执行。BIG-IPLTM通常作为其它BIG-IP产品模块的基础。BIG-IPLTM定义并执行健康检查，以确定应用服务器是否运行正常，是否快速地响应当前用户的请求，并确保流量被定向给能够在此时处理请求的服务器。BIG-IPASM提供了经过验证的应用模板，用于快速地保证常见应用的安全，并使用策略主动地监控用户流量，确定适当的行为，而且在需要时推荐新的安全策略。应用安全策略有助于保证应用漏洞威胁被消除，即使漏洞仍存在于应用代码内。BIG-IPASM有助于安全管理员实施新的应用安全，以保护应用基础设施，而不必限制有效动作，而且它有助于商务网站满足PCIDSS要求。BIG-IPWebAccelerator加速Web应用交付，尤其是对于远程和移动用户。BIG-IPWebAccelerator保证任何可由Web浏览器缓存的文件（即使看似动态的文件）被标注，以保证Web浏览器缓存文件。它在以后的访问中直接从浏览器缓存加载文件。BIG-IPWebAccelerator还缓存对象，直接将其传送给用户，并降低对Web应用基础设施的需求。无论用户是在远程办公室、家中还是在路上，他们都尽可能最快地访问Web内容，以获得尽可能最优秀的用户体验。BIG-IPWebAccelerator缩短了页面加密时间，降低了对Web服务器的要求，并且减少了WAN带宽的占用量。这些功能在单一平台上的集成意味着BIG-IPv10可以在安全和加速之间共享关联内容—您不必使用多个设备。共享关联内容，例如用户的网络、设备、位置和完整性状态，使安全方面和加速方面能够对交付快速、可用且安全的应用做出明智的实时决策。利用BIG-IPv10，您现在可以部署并管理高可用的、极为安全且快速的Web应用基础 白皮书安全与加速—应用交付的优点设施，而所有这些都可以通过BIG-IPv10的同一个一体的GUI实现。利用内置的应用就绪模板，部署新的服务可以轻松地实现。只需遵循直观的向导，输入您的唯一数值，这样即可创建优化的、安全的应用交付网络基础设施。结束语F5BIG-IPv10中一体化的Web应用安全与加速为定向、保障且加速Web应用提供了无与匹敌的解决方案。零售和远程用户更快地访问网页。对于IT来说，它最大限度降低了WAN带宽使用量，保障了Web应用的安全，并且防止数据泄露，同时将流量定向到最有能力处理请求的应用服务器。与其它需要多个设备的混合解决方案不同，这个解决方案的最大优点在于，它可在单个设备上提供卓越的特性以及最高的性能。通过使用一体化的Web应用安全和加速解决方案，单一代理可以防护、加速、优化并保证您的所有关键Web应用的可用性。1ScanSafe:"CreditCrunchFuelsSurgeinWebAttacks"2InformationWeek:"DataLossCostingCompaniest6.6MillionPerBreach"3Computerworld:"TJXSaysBreachCostsMayExceed$150M"4ContinuityCentral:"Zero-DowntimeSystemMigrations"F5Networks,Inc.401ElliottAvenueWest,Seattle,WA98119888-882-4447www.f5.comF5公司北京代表处F5公司上海代表处F5公司广州代表处F5公司成都代表处地址：北京市朝阳区建国路地址：上海市卢湾区湖滨路地址：广州市天河区珠江新城地址：成都市滨江东路9号81号华贸中心1号写222号企业天地1号写华夏路10号富力中心写香格里拉中心办公楼18层字楼1708室字楼1119室字楼110室邮编：100025邮编：200040邮编：510623邮编：610021电话：（+86）1059234000电话：（+86）2161132588电话：（+86）2038927557电话：（+86）286606码5210©2009F5网络公司。保留所有权利。F5、F5Networks、F5徽标、BIGIP、FirePass、iControl、TMOS和VIPRION是F5网络公司在美国和其它某些国家的商标或注册商标。CS869320909