2022年3月，随着东数西算工程落地，我国一体化大数据中心体系完成总体布局设计，标志着我国数字化转型进入了全面阶段。北京、浙江、山东、河南、四川等多省份在今年的地方《政府工作报告》中提出，要加快发展数字经济，并提出量化指标。

数字化赋予了企业全新的动力，也让企业中的应用迅猛增长，越来越多的业务开始走上云端，变的更加高效和便捷。

但是，应用爆炸式增长，以及基于API的访问形式，给企业安全带来了严峻挑战。一方面，传统的网络安全边界正在逐渐消失，自动化攻击使得传统安全体系捉襟见肘；另一方面，企业暴露在互联网上的攻击面也越来越多，可被利用的漏洞数量也在不断增长，网络攻击给企业带来的实际损失也越来越庞大，甚至可以决定其生死。

如何有有效减轻应用激增的压力，缓解企业网络安全风险，让企业的数字化转型安然进行，是企业需要解决的问题。安全是数字化的基础，安全不牢固，数字化成果就无法保障。

在这样的背景下，2022年F5多云应用服务科技峰会盛大召开。本次大会以“云无边界，架构未来”为主题，向所有观众描绘了一幅在数字化转型的大潮中，F5助推企业有效应对多云应用安全和应用交付挑战的蓝图。

会后，FreeBuf特邀F5中国区安全事业部总经理陈亮进行专访。采访中，陈亮表示，所谓“无边界”是指多个方面：一是技术无边界，二是访问无边界，三是API请求造成应用之间无边界。

陈亮，F5中国区安全事业部总经理，在近20年的IT生涯中，历经负载均衡、应用交付、应用安全到当前基于云计算、大数据、人工智能等技术的演变，积累了丰富的理论与实践相结合的经验。在他看来，应用安全高一切。多数企业目前正处于数字化转型的关键阶段，其中会涉及大量的安全问题，应用与安全直接关系着企业的核心业务。

云无边界，应用和安全成数字化挑战

“边界正在逐渐消失，应用正在爆发式出现。”

随着我国疫情防控形势的反复和数字化转型的加速，促使我国企业以更快的速度进行数字化转型，大量的传统业务走到了线上。

陈亮认为，数字化转型导致传统的各种边界正在缓缓消失，彼此交融、相互联动成为未来新的发展趋势。这既给企业带来了全新的应用和业务场景，也带来了相应的挑战：当边界消失的时候，传统的安全体系出现了新的缺口。

与此同时，应用也正在爆发式出现。

近年来，大多数人想必已经感受到：应用变的越来越多，相对应手机的内存容量也在不断增加。以苹果手机为例，其内存从最早的16GB增加到64GB，iPhone13的最低版本直接跳到128GB，最高可以选择超大的1TB容量。

企业方面又何尝不是如此？随着业务走到线上，应用也开始爆发式增加，并成为内容交付的主要方式。据IDC2021年发布的报告数据显示，2019年，全世界应用数量达到10亿个，到2025年，预计这个数字将增长5倍，达到近50亿的规模，应用的世界已经爆发。随着人们的生活越来越依赖应用，应用安全也成为了生活方式的核心根本。

陈亮表示，和传统应用不同的是，现代应用的一个显著要求就是“快”，快速上线，快速迭代。因此现代应用正在从虚拟化向容器化、微服务化转变，从而使得迭代的速度更快，有的甚至提供无服务架构，只需一个代码调用即可，以API的形式进行访问、连接也就变成了最普遍的一种形式。

此外，随着多云和混合云架构的普及，越来越多的企业开始真正感受到应用部署性能提升所带来的好处，但是应用架构与应用环境的复杂程度和面临风险也在逐渐攀升，给企业应用安全带来了严重的挑战。

因此，在陈亮看来，应用安全至少存在以下六大挑战：

1、应用快速式迭代，但安全防护策略滞后。随着应用部署时间从原来的月、周逐渐缩短至日、时甚至是秒，大量的传统安全策略根本无法跟上如此快速节奏，因此往往拖累应用发布速度。

2、应用无处不在，安全策略很难达成一致。多云架构的出现使得应用无处不在，但传统数据中心、公有云、容器云上部署的安全策略却存在明显差异，很难达到一致的安全防护要求。

3、机器人自动和欺诈攻击难以防范。随着网络攻击的趋利性日益强烈，越来越多的黑客使用利用人工智能、机器人自动进行攻击，企业防不胜防，时刻处于威胁之中。

4、传统应用和现代应用并存。在数字化转型的过程中，企业不可能将原有应用全部推倒重来，因此就出现了大量应用并存的情况，而这直接增加了企业安全的防护难度。

5、管理和防护API的风险成新挑战。通过API的形式进行连接、调用已经成为较为普遍的方式，企业如何管理、防护API的风险成为一项非常大的挑战。

6、开源创新危机四伏。开源技术正在被广泛应用于金融、互联网等多个行业，开源安全性成为一大难题。此前出现的出现的Log4j和Spring RCE两大重磅漏洞给企业安全带来了严重的威胁。

可以预见的是，未来开源还将被继续广泛使用，因此针对开源出现的网络攻击威胁也将变的更加严重。

“安全是企业的生命线”，采访中陈亮表示，“基于以上六大安全挑战，企业必须要思考如何缓解企业的网络安全风险，如何保障企业线上业务不受干扰，促进数字化转型安全进行是企业目前需要解决的问题。”

全数据通路安全防护架构应运而生

面对爆炸式出现的应用和安全风险，F5提出“感知可控，随需而变”的观点，围绕着企业数字化转型和业务发展，不断简化应用交付部署，强化整体安全防护。

针对应用激增问题，F5提出分布式云架构，可大大增加应有的拓展性和可交付性，满足现代应有的高性能和高弹性的要求。F5在应用部署方面更加强调自动化，此举不仅提高安全性，也大大简化了应用部署的工作。

同时，陈亮表示，近年来F5一直在推广API优先的策略公司，完全有能力通过API的形式进行调用，加快应用部署，实现跨环境应用交付策略的统一，并通过这种端到端的交付平台，有效管理应用，缓解应用激增的压力。

针对安全风险方面，采访中陈亮重点分享了“F5全数据通路安全防护架构”，为企业用户提供以下六大安全能力。

1、可信应用访问的能力。目前企业环境已经发生巨大变化，物联网、手机终端、互联网等并存，企业很难定义类型。因此企业更需要一个可信应用访问的能力来进行人机识别，防欺诈/防撞库，同时也有授信访问，实现可信安全地访问后台应用。

2、增强基础架构安全的能力。应用大爆炸带来大量的用户请求，更多的线下流量转为线上，因此对企业基础架构的安全处理能力有了更高的要求。在增强基础架构安全方面，F5可提供DDOS清洗，南北/东西流量边界安全服务，不再以数据中心作为边界，而是从应用视角出发重新定义了新边界。此外还有DNS安全加固等服务，针对纵深的DNS防护安全架构，提出了新的理念。

3.流量可视与精分的能力。安全是一个复杂的工程，涉及数据安全、应用安全等多个领域，想要将安全技术联动起来，就需要充分发挥网关的能力。但如何解决部署、拓展困难，网关出现故障后流量中断的问题成为企业面临的挑战。

F5针对SSL流量精分和可视流量具备灵活调度的能力，可将所有安全网关以资源池或安全域的形式进行旁路部署，并对流量进行编排、解密和可视，这样安全网关设备分级处理就可以进行调配、分流，极大提高安全的互相协调和可拓展的能力。

4.WEB应用与API安全的能力。众所周知，传统的WAF正在逐渐消亡，Gartner曾提出WAAP防护架构理念，其中包含了WEB应用，API防护，DDoS和Bots四位一体的防护能力。F5已具备这四种能力，并通过多云环境统一的应用安全，实现不同的环境下统一的安全策略调配，以此发挥更大的作用。

同时，也可以更好地整合企业现有的安全能力，例如将传统的WAF服务和WAAP架构并存，强化安全能力。WAAP也可做成按需的形式，既提高安全性，也提高访问的效率；或将WAAP的能力移植在边缘环境、云环境里面进行使用等。

5.可信开源的能力。针对开源技术的安全问题，F5在大会上正式发布NGINX企阅版(NGINX OSSub)，既可以保障开源的灵敏性，又满足屏蔽风险的要求，实现可信开源的目标，具体将在后面详细叙述。

6、大数据与AI智能的能力。企业中所有应用、终端的信息最后都可以传递给F5的大脑，也可以传递给企业自建的大数据分析平台，以实现更好的安全洞察，实现自动化策略的下发，防欺诈的智能识别，提升用户的访问体验等。因此，从端到端数据层面的处理，再到大数据、人工智能、机器学习的结合，可以极大发挥出数据的价值，把自动化、人工智能、智能化的分析融入到整体的解决方案当中。

最后，陈亮表示，当所有的能力聚合在一起时，F5作为一个多云应用网络安全，应用交付的厂商，全面助力企业实现随时随地的保护、交付，并优化任何应用和API，有效应对日渐严峻的应用激增所带来的安全风险。

可信开源平台NGINX企阅版上线

在2022年多云应用服务科技峰会上，F5正式发布了可信开源平台——NGINX企阅版(NGINX OSSub)，以此规避使用开源产品面临的风险。这引起了业内人士的重点关注，倘若可有效解决开源的安全问题，那么开源将会迎来增加宽阔的应用前景。

采访中，笔者就“NGINX企阅版(NGINX OSSub)的安全性”进行提问，对此陈亮表示，作为全球最受欢迎的开源项目之一，全球有超过4亿个域名使用NGINX为载体，超过80%的互联网流量经过NGINX，全球超过500万K8s入口控制器使用NGINX，在进行开源治理方面发挥着重要作用。

而在NGINX社区版的基础上，F5联合合作伙伴共同推出了NGINX企阅版(NGINX OSSub)，保证了自身产品时可信的。目前，NGINX企阅版已经通过了信通院下发的可信开源项目的测试，满足可信开源的要求，可避免相应的安全漏洞或安全的风险。

事实上，开源技术的安全性一直是开源广泛应用最大的障碍，且随着开源技术的大量应用，安全风险直线上升，已经威胁到产业生态的发展。

2021年10月，人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布了《关于规范金融业开源技术应用与发展的意见》，并指出金融机构可以根据开源技术使用情况，建立开源技术应用台账，及时掌握开源许可证变更、漏洞、闭源、停服等变化情况，实行常态化管理，规避风险。

基于此，NGINX企阅版(NGINX OSSub)可为企业提供可信的开源技术更加符合企业的需求。陈亮表示，NGINX企阅版(NGINX OSSub)已经从烟囱式转向平台化，将所有的开源产品以中台的方式进行管理，从而对其进行梳理，进行安全风险评估，规范使用。

值得一提的是，企业可以以NGINX作为起点，搭建一个统一的中台，将所有不同的软件开发商、不同的项目组，部署在不同位置的NGINX进行统一的管理。F5提供一个统一的Portal，企业可根据自身的实际情况进行资源的申请。这意味着，当NGINX企阅版(NGINX OSSub)部署完成后，即便不是NGINX的开源技术同样可以管理起来，真正做到可信使用。

在安全响应方面，F5安全团队还将提供专业的顾问服务，包括故障现场排查，重保现场值守，驻场工程师等，在出现安全风险时可第一时间进行应急响应。

结语

采访中，陈亮表示，F5一直在紧紧跟着全球技术的发展趋势。在当下应用激增和应用风险上升的双重压力下，对于F5来说既是挑战，更是一个非常好的机遇。

多年来，F5一直在收购其他优秀的企业，也一直在积极地转型，为企业用户提供更好、更具前瞻性的解决方案。例如为了强化容器化安全和开源，F5收购了NGINX；为了自动化的安全策略，F5收购了Shape；为了强化边缘计算，F5又收购了Volterra，将所有的安全能力、交付能力从数据中心迁移至分布式云......

陈亮认为，随着技术的演讲和发展，应用交付和安全正在发生翻天覆地的变化，因此企业也必须要随之变化和转型。这也是F5一直积极转型，积极收购相关企业的原因。

未来，F5依旧将致力于通过先进的技术和方案不断升级，持续创新和迭代，立足国内市场发展和实际需求，为企业提供更具前瞻性的服务。正如在4月20日峰会上发布的安全战略一样：拥抱开源，拥抱本地化，拥抱数字创新。