過去,應(yīng)用交付控制器(ADC)通常被視為部署在企業(yè)數(shù)據(jù)中心以實(shí)現(xiàn)負(fù)載均衡功能的硬件設(shè)備。然而,現(xiàn)在ADC設(shè)備的功能已經(jīng)超越其最初的目標(biāo),以便滿足企業(yè)IT專家的多種需求。
現(xiàn)在ADC設(shè)備功能更加多樣化。Radware和Enterprise Strategy Group (ESG)合作完成的一項(xiàng)調(diào)查研究顯示,當(dāng)前及未來的ADC設(shè)備使用策略正在不斷進(jìn)化,其中的一個(gè)進(jìn)化就是ADC成為數(shù)據(jù)中心安全策略中的一個(gè)關(guān)鍵角色。據(jù)一項(xiàng)涉及200多個(gè)IT專家的調(diào)查研究顯示,不管是大型企業(yè)還是小型企業(yè),都在利用傳統(tǒng)的負(fù)載均衡器實(shí)現(xiàn)網(wǎng)絡(luò)層安全功能,如:防火墻和網(wǎng)絡(luò)分隔等。為什么ADC可以成為另一個(gè)網(wǎng)絡(luò)防御層呢?
研究表明:ADC設(shè)備在數(shù)據(jù)中心安全中的作用日趨明顯
研究結(jié)果表明,企業(yè)正在使用許多額外的ADC設(shè)備功能和特性,以實(shí)現(xiàn)監(jiān)控、加速和安全等功能。
一半以上的受訪者認(rèn)為,網(wǎng)絡(luò)攻擊很有可能會(huì)攻破企業(yè)網(wǎng)絡(luò)外圍的防御措施,因此,ADC設(shè)備就成為了真正意義上的最后一道安全防線。
也就是說,如果網(wǎng)絡(luò)攻擊者成功攻破企業(yè)數(shù)據(jù)中心的第一層防御措施,并到達(dá)為某個(gè)應(yīng)用配備的ADC設(shè)備,他們就有機(jī)會(huì)發(fā)現(xiàn)該應(yīng)用中存在的安全漏洞。若果企業(yè)安全團(tuán)隊(duì)在ADC設(shè)備中的WAF功能上很好地定義了安全策略,那么這一特定應(yīng)用的安全仍可得到保證。但是黑客仍然能夠跨越外圍的防御措施,并隨心所欲地尋找該應(yīng)用或同一數(shù)據(jù)中心中其它應(yīng)用中存在的安全漏洞。
為何將ADC設(shè)備作為最后一道安全防線并不是一個(gè)很好的方法
在數(shù)據(jù)中心外圍,通常會(huì)看到許多網(wǎng)絡(luò)層防御工具(如:防火墻、DDoS防護(hù)系統(tǒng)、IPS/IDS解決方案等),而這些工具亦是非常有用的。從邏輯上講,用戶可以將WAF等面向應(yīng)用的防護(hù)系統(tǒng)部署在靠近應(yīng)用的位置,并為每個(gè)應(yīng)用都配備專業(yè)設(shè)備和優(yōu)化的安全策略。然而在保護(hù)數(shù)據(jù)中心應(yīng)用時(shí),這種分層的安全構(gòu)架并不完美。
在數(shù)據(jù)中心及其應(yīng)用中增加更多的安全層可以提高每個(gè)應(yīng)用的防護(hù)水平,但是在不同防御層之間必須保持更密切的合作,才能確保將攻擊者攔截在數(shù)據(jù)中心之外。通過這種協(xié)作,可以不用考慮哪個(gè)防御層可以檢測到攻擊或是安全缺口。例如,如果ADC設(shè)備中的WAF模塊檢測到對應(yīng)用的攻擊,它可以立即向數(shù)據(jù)中心外圍的防御系統(tǒng)發(fā)送相關(guān)信息和詳細(xì)的網(wǎng)絡(luò)層攻擊資源特征碼。通過這種協(xié)同工作,外圍安全設(shè)備就可以阻斷來自同一攻擊源的后續(xù)攻擊。
這種協(xié)同工作方法不僅提高了特定應(yīng)用的安全性,同時(shí)也保護(hù)了企業(yè)數(shù)據(jù)中心其它應(yīng)用的安全,因?yàn)檫@些應(yīng)用很可能就是下一個(gè)攻擊目標(biāo)。一旦攻擊流量能夠被攔截在數(shù)據(jù)中心的外圍,就可以顯著提高應(yīng)用服務(wù)水平。通過這種將攻擊流量從數(shù)據(jù)中心和應(yīng)用基礎(chǔ)架構(gòu)中卸載下來的方法,可以為合法用戶提供更快捷流暢的服務(wù),或是在攻擊之后為合法用戶快速恢復(fù)服務(wù)。
為了滿足應(yīng)用SLA需求,企業(yè)必須搭建安全高效的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。由于ADC設(shè)備的功能能夠適應(yīng)當(dāng)今IT界的需求,因此ADC設(shè)備可以在一定程度上滿足上述需求,但是ADC設(shè)備只提供了單個(gè)防御層。為了確保高度的網(wǎng)絡(luò)安全性,安全網(wǎng)絡(luò)必須能夠在多個(gè)防御層之間進(jìn)行信息通信,盡管近來ADC設(shè)備在安全防御領(lǐng)域的應(yīng)用越來越多,但是ADC設(shè)備并不能提供足夠強(qiáng)大的防御措施,因此企業(yè)不能將ADC設(shè)備作為最后一道安全防線。
關(guān)于Radware
Radware是為虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心提供應(yīng)用交付和應(yīng)用安全解決方案的全球領(lǐng)導(dǎo)者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應(yīng)用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬家企業(yè)和運(yùn)營商快速應(yīng)對市場挑戰(zhàn),保持業(yè)務(wù)的連續(xù)性,在實(shí)現(xiàn)最高生產(chǎn)效率的同時(shí)有效降低成本。