联合挑战：F5中国CTO吴静涛访谈(一)

　　【IT168专稿】在第八期联合挑战栏目“实话实说Web应用优化”中，我们请到了F5中国CTO吴静涛先生，为广大网友解读了F5作为应用交付业界的领先企业对于Web应用优化的分析和理解，并对网友关心的问题做出了详细的解答。整个访谈分为四个篇章进行，下面我们为大家带来访谈的第一篇章：Web应用安全为何不可替代

　　主持人：各位网友，大家好，我是IT168网络通信的李志国，我现在是F5中国区的办公室，坐我在旁边的是F5公司的中国区技术总监吴静涛先生。

　　F5中国CTO吴静涛(以下简称吴静涛)：大家好，我是F5的吴静涛。

　　主持人：今天我和吴总主要是同大家聊一下WEB应用优化中存在的一些现象和问题，以及一些解决办法。现在业界对于安全的认识和关注已经提升到一个非常高的高度，您觉得在各种安全风险中，最严重的是什么?

　　吴静涛：大家都知道我们前些天在整个亚太区做了一个CIO的调查，根据我们的调查显示，现在WEB安全最大的问题是认知度的问题：我们发现有超过70%的人认为通过网络设备可以解决应用安全问题。

　　事实上，我们知道目前80%的攻击都是来自WEB应用攻击，二八原理非常明确，现在网络攻击越来越少，应用攻击越来越多。大家如果认为网络设备可以抵御应用攻击，这样一个错误的认识直接会导致你的安全架构和安全资金的投放产生误差，以至于产生新的安全隐患。因此，认识偏差是目前非常大的一个问题。

　　主持人：这有一个数据，说68%的人出了安全问题，第一个想到求救的对象是网络厂商，而不是一个传统的安全厂商。那么，实际来说如果一个客户出了一些安全问题，他首先求救的应该是谁?

　　吴静涛：我觉得出现安全问题，或者说出现应用安全问题，首先不是去求救谁，而是先判断一下它的风险如何。

　　我们看到有些安全漏洞和应用风险是比较低级的，这时候我们被攻击了，重启一些应用或通过其他手段简单抵御就可以解决。而对于非常高级的攻击就要求助专业的厂商了，特别在应用安全方面，需要根据风险值高低来评判。

　　这里用投资的方式来理解这个问题更容易一些，例如应用安全要做到哪个级别?当然我们第一想法都是我要做到最好，我没有任何安全问题。但这是不可能的，我们投入多少钱，就带来什么样的相对安全的级别，因此这是和我们的投入直接关联的。用这样一个方式考虑问题会好一些，而不是首先就去想求助谁——因为我们无法在受到攻击前就想到求助，但在攻击发生前，我们可以判断安全的风险，应该防范到哪个级别，使风险在一定范围内被防范住。

　　主持人：很多人买设备的时候就放一个防火墙，如果不出问题就这么维持着，一旦出现问题才会想办法进行新的投资。您觉得WEB应用安全产品在企业IT系统的整体中处于什么样的位置?

　　吴静涛：确实像您刚才所说的，应用安全的问题实际上是因为黑客行为的变更而导致它现在比较热一些，之前我们所看到的网络攻击基本上都是求名为主，我记得很多年前，知名网站被攻击了，就会有黑客团体站出来说是我干的。但现在黑客开始求利了，而求利就涉及到应用级别，所以应用攻击包括应用攻击的防护才变得比较热。

　　从现在情况来看，我们认为如果把以前网络安全问题和现在的应用安全问题混在一起谈，确实不是一个非常好的思路。其实从应用的角度看，我们认为网络安全、应用安全、甚至是规则安全，它们都是起到一个规范的作用，不要硬要分开说这是网络安全的问题，那是应用安全的问题。因为它们都和应用有关，如果你被人攻击，那就说明你的应用不能很好的交付，不论原因如何，结果是一样的。因此应该整体的去考虑——用架构的方式和整体安全风险评估的方式来判断应用安全会更好一些。

　　主持人：就是说现在应该让CSO和业务领导更多的对话，了解业务方面的需求。

　　吴静涛：从我们的交付角度来讲，我们一直倡导把IT做的简单化、平台化、稳固化。CSO如果只是从IT角度去考虑IT安全，这实际上没有价值。应该是从企业或者业务的角度来判断整体的安全，然后在IT上通过技术和投资来判断安全评估是不是可以运行。

　　主持人：现在的CSO与传统CSO的概念有了变化，和很大的提升。

　　吴静涛：我非常同意您的观点，以前说CSO，大家都不知道什么含义，今天我才反应过来是负责安全的，应该怎么翻译?

　　主持人：应该是首席安全官，他负责防火墙、网络设备、服务器的安全。

　　吴静涛：从我们的理解来看，我们认为不应该从某一个应用上来谈应用安全的问题，而应该由CSO来整体的负责应用安全问题。

　　我们现在在推一个SPC的概念——战略控制点。下面我们就谈一下应用安全跟SPC的关系。我们谈到应用安全，大家第一反应是由应用人员解决应用的问题，例如软件开发的时候，你的代码怎么写的，包括你的OS应该做什么样的配置等等……但如果你真的这样考虑问题的话，你永远无法完整的满足一个应用安全。当你代码开发的时候，如果有新的攻击模式，你无法防范。即便你去打补丁，大家都知道还有零日攻击的方式，微软刚刚发布的补丁，你不可能马上打上，如果不打，你就存在安全风险。因此，从一个软件开发和操作系统应用角度上考虑应用问题，我们认为是不恰当的。应该有一个人像CSO的角色，通过一个整体的观念来谈SPC战略控制点——以控制整个安全规范。

　　我们举一个实际的例子，我们现在有三大应用，ERP、门户网站和OA，假如您做OA的安全，就负责OA安全，其他人就不管了，这是不合理的。应该有一个CSO整体安全架构。特别要提出的是，从我们的角度来看，如果作为一个整体安全架构，所有应用前面也是要分析和定制化对待的，例如ERP的安全跟OA安全是不一样的，OA是给内部用的，门户网站是给互联网用户用的，安全级别完全不同。

　　我们认为这种统一安全架构，并由SPC战略控制点提供整体相对的安全，同时为某些特定应用提供定制的防护，这样才是更完整的。

　　主持人：就是安全级别有高有低，像国家安全等级一样，这样很考验CSO的功力。

　　吴静涛：没错，不同安全有不同的等级，为不同的等级提供不同的安全保护，还要为单独的应用提供保护，所有体系由CSO组织规划，实现整个公司的应用安全。

　　——当然应用安全永远没有一个真正的完美，所以你要评估什么样的风险是可以接受的。

　　主持人：您觉得在整个应用交付里面，WEB应用安全处于什么样的位置?F5把它放在什么样的位置?有没有一些成熟的解决办法，或者成熟的经验，例如在应用交付的时候，应该把安全放在什么地方?

　　吴静涛：我们一直倡导，应用交付分为三个技术领域，应用高可用，应用优化，应用安全，这是交付三个最大的领域，在应用安全里面，实际上我们非常看重应用安全的技术开发，以及对客户应用方面的保护。从我们的角度来看，如果说在您的应用安全中出现了问题，实际上是一个交付的应用安全的失败，F5对应用安全非常重视，提供了一系列的产品为客户应用安全提供防范。

　　主持人：去年底很多厂商提出了云安全的概念，它有一些病毒库分析，把攻击的模式放在云端，通过这个设备调云端的特征，通过黑名单达到安全的目的，现在叫云火墙，也叫WEB应用安全。F5如何来看待这个概念?

　　吴静涛：就像您刚才说的方式，我们认为跟真正的应用安全有一定的偏差，包括黑名单、防火墙、病毒库。如果这是企业的关键应用，您会不会采用加密通信的方法?如果采用加密通信的方法，你的网络设备在加密数据流上，特征库能不能被发现?

　　比如说我们说最强劲的一个攻击，代码是以分号开头，然后OR 1=1，帐号名、密码可以使用随便的，错误了也无所谓。当你在后台进行校验的时候，无论你的帐户密码对错，因为OR 1=1，任何对错都可以进入你的后台系统。如果你是以特征码和黑名单做防护，则分号、OR都很难进去。但在我们采用加密通信的时候，您的网络安全设备黑名单、特征库根本发现不了被加密后的这些语句，也就是说，我们无法防止黑客驻入，这个特征码可以找到攻击，但是在加密之后就看不见了，那么它能给你带来应用安全防范吗?

　　我可以负责任的讲，加密通信下网络设备的应用攻击防护是没有效果的。你要有一套新的理论，新的思路，提供安全防护，以F5的方法和架构来讲，这会是一个整合式的应用交付设备，我们是在一个最有利的位置——在服务器的前面，WEB用户到使用的时候，先解密，然后再进行安全防范，如果你有攻击，我就很容易防范到你，这样才可以真正的对应用进行安全防护，而不是一个网络设备通过特征码，通过病毒库、黑白名单就可以防范。应用安全的概念在今天这样一个硬件环境下，确实与网络安全有很大区别。

　　主持人：如果放在一个云端特征库和黑白名单其实是没有意义的?

　　吴静涛：负责任的讲有意义，但是对有加密通讯的业务安全是没有意义的。