过去,应用交付控制器(ADC)通常被视为部署在企业数据中心以实现负载均衡功能的硬件设备。然而,现在ADC设备的功能已经超越其最初的目标,以便满足企业IT专家的多种需求。
现在ADC设备功能更加多样化。Radware和EnterpriseStrategyGroup(ESG)合作完成的一项调查研究显示,当前及未来的ADC设备使用策略正在不断进化,其中的一个进化就是ADC成为数据中心安全策略中的一个关键角色。据一项涉及200多个IT专家的调查研究显示,不管是大型企业还是小型企业,都在利用传统的负载均衡器实现网络层安全功能,如:防火墙和网络分隔等。为什么ADC可以成为另一个网络防御层呢?
研究表明:ADC设备在数据中心安全中的作用日趋明显
研究结果表明,企业正在使用许多额外的ADC设备功能和特性,以实现监控、加速和安全等功能。
一半以上的受访者认为,网络攻击很有可能会攻破企业网络外围的防御措施,因此,ADC设备就成为了真正意义上的最后一道安全防线。
也就是说,如果网络攻击者成功攻破企业数据中心的第一层防御措施,并到达为某个应用配备的ADC设备,他们就有机会发现该应用中存在的安全漏洞。若果企业安全团队在ADC设备中的WAF功能上很好地定义了安全策略,那么这一特定应用的安全仍可得到保证。但是黑客仍然能够跨越外围的防御措施,并随心所欲地寻找该应用或同一数据中心中其它应用中存在的安全漏洞。
为何将ADC设备作为最后一道安全防线并不是一个很好的方法
在数据中心外围,通常会看到许多网络层防御工具(如:防火墙、DDoS防护系统、IPS/IDS解决方案等),而这些工具亦是非常有用的。从逻辑上讲,用户可以将WAF等面向应用的防护系统部署在靠近应用的位置,并为每个应用都配备专业设备和优化的安全策略。然而在保护数据中心应用时,这种分层的安全构架并不完美。
在数据中心及其应用中增加更多的安全层可以提高每个应用的防护水平,但是在不同防御层之间必须保持更密切的合作,才能确保将攻击者拦截在数据中心之外。通过这种协作,可以不用考虑哪个防御层可以检测到攻击或是安全缺口。例如,如果ADC设备中的WAF模块检测到对应用的攻击,它可以立即向数据中心外围的防御系统发送相关信息和详细的网络层攻击资源特征码。通过这种协同工作,外围安全设备就可以阻断来自同一攻击源的后续攻击。
这种协同工作方法不仅提高了特定应用的安全性,同时也保护了企业数据中心其它应用的安全,因为这些应用很可能就是下一个攻击目标。一旦攻击流量能够被拦截在数据中心的外围,就可以显著提高应用服务水平。通过这种将攻击流量从数据中心和应用基础架构中卸载下来的方法,可以为合法用户提供更快捷流畅的服务,或是在攻击之后为合法用户快速恢复服务。
为了满足应用SLA需求,企业必须搭建安全高效的网络基础架构。由于ADC设备的功能能够适应当今IT界的需求,因此ADC设备可以在一定程度上满足上述需求,但是ADC设备只提供了单个防御层。为了确保高度的网络安全性,安全网络必须能够在多个防御层之间进行信息通信,尽管近来ADC设备在安全防御领域的应用越来越多,但是ADC设备并不能提供足够强大的防御措施,因此企业不能将ADC设备作为最后一道安全防线。
关于Radware
Radware(NASDAQ:RDWR)是为虚拟数据中心和云数据中心提供应用交付和应用安全解决方案的全球领导者。Radware屡获殊荣的解决方案为关键业务应用提供充分的弹性、最大的IT效率和完整的业务灵敏性。Radware解决方案帮助全球上万家企业和运营商快速应对市场挑战,保持业务的连续性,在实现最高生产效率的同时有效降低成本。
