現代化應用系統演進到微服務架構,搭配Kubernetes容器叢集環境,可選擇部署在主流公有雲或自建部署的私有雲平台,依據營運需求彈性遷移、堆疊,然而新架構卻使過往的資安解決方案難以發揮完整作用。
近年來F5基於擅長的網頁應用程式防火牆(WAF)領域知識與收購NGINX、Volterra等公司取得的技術,整合發布分散式雲平台(Distributed Cloud),以提供App Stack、Mesh等服務,讓全球佈局的企業得以藉由F5分散式雲平台,達到雲端與地端採用一致性控管策略,確保安全、合規的同時亦兼顧用戶體驗。
F5 Networks台灣總經理張紘綱說明,F5去年(2021)完成Volterra收購案,取得全球部署的骨幹網路,並將此基礎架構整合至F5原就擅長的負載平衡、DNS Security、WAF等技術,打造出F5分散式雲平台。隨著雲端原生應用興起,Kubernetes容器叢集與微服務架構儼然成為業界標準,企業無論要建構容器叢集環境讓開發者的Serverless得以運行,或者是拆解既有單體式應用系統並逐步轉換成微服務架構,勢必都需要技術專家協助重新規劃系統架構,才有機會降低公有雲平台費用。F5收購的Volterra營運業務項目中本就提供Kubernetes as a Service,目的即是協助缺乏技術專才的企業,把傳統應用系統進化成微服務架構。
「就台灣市場來看,過去深受法規限制的金融業,去年(2021)主管機關已發布上雲準則,我認為2022年可說是全面上雲的元年,F5已具備的Kubernetes as a Service、地端與雲端的整合控管、雲端的安全防護機制,正可有所發揮。」張紘綱說。
建立端到端的雙向防護
F5分散式雲平台為軟體與硬體整合架構,簡化公有雲、私有雲、邊緣端的站點部署與維運應用服務生命週期管理的複雜度,提升網路連接存取效率,同時亦納入高度整合的WAAP(Web Application and API Protection)方案確保安全性。
F5台灣資深技術顧問陳廣融說明,WAAP是以F5旗下BIG-IP、NGINX為基礎,整合陸續收購的Volterra、Shape Security、Threat Stack等技術整合而成,具備Advanced WAF、DDoS緩解、惡意機器人控管與API防護能力,並且是以SaaS應用模式為多雲與邊緣端環境提供資安控管機制。
WAAP方案主要部署在F5 Global Network全球網路骨幹環境,稱為Regional Edge接入站點,提供企業客戶建立通用的安全性政策與保障網路穩定傳輸。另一種模式是在公有雲、私有雲環境中部署WAAP,稱為Customer Edge,企業客戶可以把WAAP制定的控管政策下發到不同環境,達到一次建構全球部署的效益。
此外,F5設計的分散式雲平台底層運用Kubernetes PaaS建構,因此DevOps團隊把微服務架構的Pod遷移到Regional Edge或Customer Edge站點時,無須增添工具即可優化應用服務品質。當用戶端發起存取請求,除了傳輸加密保護以外,在抵達應用服務前須經過自動攻擊防護、惡意機器人檢測、API用戶認證、內容檢查,確認後才會放行導向應用服務。回應用戶端的資料同樣得經過XML或JASON內容檢查、敏感資料標注、流量控制等機制,建立端到端的雙向防護。
全球佈建站點就近攔阻攻擊
為了降低地端資料中心、邊緣、混合雲/多雲應用的安全維運複雜度,F5分散式雲平台設計的WAAP運用Advanced WAF核心引擎,讓各場域皆可採相同政策控管資安風險,並且持續地監控API流量,判讀行為模式以辨識不遵守存取規範的用戶。
陳廣融強調,F5分散式雲平台提供的WAAP,獨特之處在於靈活部署模式,可借助全球骨幹網路的力量執行流量清洗,或者是Regional Edge與Customer Edge混合,目的是不僅確保安全,還能同時加速多個站點之間的網路遞送。
以DDoS緩解功能為例,可整合F5 Global Network全球骨幹網路及Customer Edge站點,提高應用服務免於遭受DDoS攻擊的能力。不論DDoS攻擊流量自任何地區發起,都可透過F5分散式雲平台流量清洗中心的基礎架構,提供Layer 3到Layer 7即時緩解機制,確保應用服務的低延遲、高可用性。
F5台灣總經理張紘綱說明,台灣過去深受法規限制的金融業,去年(2021)主管機關已發布上雲準則,預期上雲需求量將快速增長,F5已具備的Kubernetes as a Service、地端與雲端的整合控管、雲端的安全防護機制,正可有所發揮。
現階段F5分散式雲平台全球佈建已具備超過12TB網路流量清洗能力,並且持續擴展中。企業若選用部署Customer Edge,可透過GRE通道或BGP的流量導向F5分散式雲平台執行清洗,在最接近攻擊來源的站點先行DDoS緩解,以免佔用頻寬,影響正常用戶存取。企業IT或資安人員亦可透過DDoS攻擊整合報表檢視細節資訊,根據存取請求率自動推定應用服務正常行為的基準值,便能即時標記異常行為並顯示來源,讓維運團隊掌握DDoS攻擊緩解的狀態。
App Stack與Mesh簡化部署維運
F5分散式雲平台提供的服務亦包含App Stack、Mesh,企業可依據需求啟用。Mesh整合了路由器、防火牆、負載平衡、網頁應用程式防火牆、API閘道器等技術,App Stack可提供企業部署應用程式,運用Kubernetes建構的環境,涵蓋基於角色的存取控管(RBAC)、機敏管理(Secret Management)等機制。分散式雲平台的實際建置可運用F5提供的ISO檔案部署到虛擬私有雲的裸機,或者是採用映像檔在AWS、Google等公有雲平台啟用執行個體,企業可依據應用場景選用合適的部署模式。
針對跨雲部署的應用服務,Mesh可負責串連與保障安全性,掌握Kubernetes叢集出入口的流量,提供跨叢集路由、API路由、服務探索(Discovery)、統一管控政策、狀態檢測、可觀測性(Observability)等機制。其中,可觀察性仰賴蒐集整體環境的遙測(Telemetry)資料如數值、日誌、告警等,藉以掌握分散部署設施、應用程式、網路連接與安全服務運行狀態,輔助NetOps、DevOps團隊進行故障排除與優化應用程式。
App Stack服務的目的則在於降低部署、擴充、保護工作負載的操作程序,可利用業界標準的Kubernetes API實作,讓DevOps團隊基於統一運行系統與調度模式,讓通過測試驗證的應用程式立即發布上線。萬一工作負載故障、重新啟動失敗,App Stack服務提供的自我修復功能便可協助清除並重新排程工作負載運行,並偵測執行緒活動確認正常狀態,以確保應用服務品質。