本文讲的是 你以为A10 Networks只做应用交付?,2004年创立的A10 Networks是一家 “应用交付”产品的知名厂商。但实际上,A10的抗D和加解密等网络安全能力的理解和积累也不容小觑。本月初,A10今年的“All About Apps”巡展首站在北京举行,安全牛记者来到现场,并将A10的核心安全能力整理如下。
领先的抗DDoS能力
A10 认为,智能、性能和安全是应用(application)最为重要的三个能力点,而因DDoS而导致的业务中断,则是成本最低、对应用“体验”破坏最为强烈的。
A10早在2014年初就推出了其DDoS防护产品(Thunder TPS),目前在微软Azure云、软银、暴雪&网易游戏等大量部署。其中仅微软一家就花费3,600万美元,用于其全球数据中心的流量清洗。
TPS的核心优势有如下三点:
- 自主研发的高效内核操作系统架构
传统的DDoS防护产品一般采用通用架构,这使得硬件受其限制而无法在诸如游戏、金融、云服务等对低时延、高性能和稳定性有刚性需求的行业大量部署。而A10 Networks自行研发的高效内核操作系统架构——ACOS,则可将多核系统的性能进行最大程度的优化。
TPS所支持的内核数可达72个,用于专门处理针对应用层的DDoS攻击,而网络层的洪泛攻击防护则由已写入流量筛选参数可编程逻辑门阵列实现。TPS最高可对2.4Tbps的流量进行清洗,并针对6.4万个被保护对象(PO)、6,400万个并发源进行追踪,以进行细粒度的策略配置。
- 命令行级的集成能力
现阶段出于商业模式的原因,A10而没有建设云清洗中心,但其和第三方解决方案的命令行级别的集成能力却对这一点做了补充。通过在TPS上开放相当于“使用命令行进行远程运维”的控制接口,TPS的能力可以完全地开放并和第三方云清洗中心及SOC实现快速联动;结合A10自身或第三方威胁情报,也可实现更主动地对攻击流量的有效拦截。
旁路部署的清洗设备在事前无法通过流量进行学习,那么良好的可编程性,即更快速、灵活的策略下发,则是对安全事件快速响应的关键。
在A10的Azure云的案例中,微软通过其自有的安全运营中心(SOC),实现对当前网络中TPS的状态和性能,及其到可疑攻击点的距离等参数进行实时监控,并通过自动化地安全策略的下发及流量牵引,实现快速响应。
- 高效SSL流量加解密能力
SSL加密的广泛使用,带来了新的安全盲点。目前许多安全设备都具有SSL的加解密能力,但受限于硬件性能以及对SSL协议的理解,如果大量安全设备开启SSL功能,会出现不可避免的时延,过多系统资源被占用等问题;同时,安全采购的花销也会上升。
TPS本身内置SSL加解密模块,利用ACOS架构的性能优势,在不影响流量清洗性能的前提下将时延控制在允许范围之内。同时,A10还提供SSL透视方案,通过对网络流量的一次加解密,使所有可疑流量以明文的形式通过原有安全设备,降低因SSL功能引入而提高的安全成本。
除此以外,通过将url过滤和粗粒度解密技术的结合,还可以实现对诸如银行等特定站点访问时个人隐私的保护。
混合云环境下的应用交付方案
介绍完A10在核心安全能力后,再简单介绍下A10在今年4月发布的Harmony跨云应用交付方案。
用户对应用交付后的安全和管理需求随着ADC的普及而增加;同时,随着企业的工作负载开始大量往云端(混合云)迁移,混合云环境下的应用交付也会成为安全能力输出的载体。
2016年7月末,A10正式宣布收购位于Gartner 2015年企业网络最酷厂商之列的Appcito。利用微服务和容器技术,Appcito实现了基于SaaS的混合云ADC解决方案。而就在今年4月,A10发布了其混合云应用交付方案Harmony。
混合云环境下应用的集中管理、对数据流的可视化分析、弹性的可扩展架构以及安全防护等问题一直是应用交付的难点所在。Harmony可以实现一致策略,并提供性能监控、故障排查、安全防护、应用灰度发布(原有服务不中断的同时进行新app部署)等能力。同时,通过数据和控制层彼此独立的架构,Harmony还可实现按需的应用扩展和弹性资源调度。
安全牛评
随着网络厂商对自家产品安全能力需求的不断增加,安全早已不再是安全厂商的专利。结合之前在多核操作系统性能优化上的积累以及对应用安全的理解,A10 Networks能在抗D、SSL加解密等方面表现出极强的安全能力也就不难理解。之后类似由网络延展到安全领域的厂商的数量必会不断增加,其安全产品的竞争力也将不容小觑。
原文发布时间为:七月 17, 2017
本文作者:Martin
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/tools-tech/26714.html
