白皮书

F5 服务运营商安全参考架构

Updated October 28, 2013
  • Share via AddThis

简介

通信服务运营商 (CSP) 必须确保客户能够在可靠的连接下成功拨打电话和使用智能手机应用,并提供差异化服务,以增强竞争力和提升相对稳定的收入流。因此,服务运营商需要在不增加复杂性或成本的前提下保证卓越的网络质量。安全威胁对网络质量和客户体验有直接的不利影响,因此安全是重中之重,CSP 必须不断抵御越来越多的威胁。

与此同时,服务运营商正在努力应对爆炸性的数据增长,同时竞争和行业压力促使他们投入大量的时间和金钱升级 4G LTE。这种过渡正深刻改变安全威胁的格局。此外,IPv6 迁移和网络功能虚拟化 (NFV) 技术也即将到来或已经箭在弦上。因此,CSP 需要多方面的支持,确保其网络持续可预测、可靠和可用。

F5 提供了一套动态、多层安全解决方案,能够满足整个服务交付架构中的这些 CSP 需求。这种解决方案的广度是保护整个 CSP 基础架构所必需的,而传统的防火墙和单点产品无法提供这种广度。通过简化交付架构和运营,提高服务可用性和可靠性,并在降低成本的同时提供应用感知和控制,F5 安全解决方案可帮助 CSP 优化、保障网络安全并实现变现。

挑战

向 4G LTE 的过渡使得服务交付架构更加扁平化和开放,并且全部基于 IP。在此过程中,服务运营商的安全环境正在发生巨大的变化。因此,服务运营商面临着日益复杂的针对用户和服务基础架构的大型攻击,这些攻击不仅多面而且混合。防止 DoS 攻击、僵尸网络、身份盗用和系统受损等恶意行为影响网络势在必行,信令风暴和系统配置错误等无意的安全相关问题也必须予以防止。

与此同时,为了提升业务性能,CSP 需要降低成本,提高网络的运营效率。随着投入重金来部署 4G LTE 服务和安全管理爆炸性的流量,整个基础架构的压力也在持续增加。最后,在新的 4G LTE 架构中,策略管理、DNS 寻址和 IMS 服务等战略网络元素依赖于一个全新的信令基础架构,而这一架构也必须得到保护。

在此环境下,服务运营商面临的安全挑战包括:

  • 危害服务可用性的威胁,如 DoS 和分布式拒绝服务 (DDoS) 攻击、IP 端口扫描和信令风暴。
  • 数据盗窃,从个人和银行信息延伸至公司资产和密码。
  • 设备和服务器端的恶意软件,这些软件会降低性能或干扰服务。
  • 高级持续性威胁 (APT),在访问控制不足的情况下,这些威胁会危及网络和数据中心资产。
  • Web 应用攻击,如 OWASP Top 10。

传统的网络防火墙无法提供所需的可扩展性、灵活性和智能性,也不容易管理。CSP 需要保持快速响应,以便在攻击日益复杂且不断增加的情况下提供有效的安全保障。此外,威胁并不仅仅来自于互联网;DDoS 僵尸网络、恶意软件和其他来源的攻击现在也来自于移动设备。由于现在的威胁是双向的,因此安全解决方案也必须能够为网络基础架构提供双向保护。

其他传统的保护方法试图将许多单独的产品拼凑在一起,如 DDoS 设备、DNS 设备、Web 应用防火墙和负载平衡器,但这种方法增加了架构的复杂性和延迟,并将故障点引入到网络中。此外,从运营的角度来看,管理和支持具有不同系统和技术的多个安全供应商的产品是极其困难和资源密集的。更糟糕的是,单点产品的集合无法整合来自不同攻击向量的信息或提供统一的防御。有关攻击的综合情报至关重要,因为当网络遇到未解决的安全问题时,服务请求会增加而客户满意度会下降,从而增加客户流失。

解决方案

成功的安全需要一个多层次的解决方案方法。CSP 需要设计服务交付架构,在整个网络、用户设备和数据中心内实施广谱安全。在网络内部,解决方案需要在数据和控制平面上提供保护:在数据平面上保护移动分组核心基础架构,在控制平面上保护消息和信令基础架构。在数据中心,解决方案需要为数据基础架构以及托管应用自身提供应用级保护。

F5 提供了一套动态的、多层次的安全解决方案,帮助服务运营商保护整个基础架构,并且能够在最苛刻的条件下以智能和灵活的方式扩展运行。不同于只解决一类有限的安全问题的竞争性单点产品,F5 安全解决方案依靠统一的平台和无与伦比的功能,该平台可以解决整个 CSP 基础架构中的威胁。因此,这些解决方案可以帮助服务运营商保护和优化网络并实现变现。

图示
F5 Security for Service Providers 解决方案

F5 平台是经过认证的防火墙解决方案,可以简化网络架构,为快速响应新威胁提供更多灵活性,并提供运营商级的性能和可靠性。这些通用平台功能在 F5 解决方案中全面实施,从而在 CSP 的核心基础架构中实现不同功能:

  • 分组核心 (S/Gi) 网络安全
  • 消息和信令协议安全
  • 互联网数据中心安全

这些解决方案适用于单一的服务交付架构,为用户提供最高的安全态势和最佳体验。

F5 不是为该架构提供单一的安全产品。相反,该解决方案由 F5 安全产品组合中的智能和可扩展组件联合提供:一个统一的平台,包括 F5 BIG-IP Advanced Firewall Manager (AFM)、BIG-IP Application Security Manager (ASM)、BIG-IP Global Traffic Manager (GTM)、BIG-IP Local Traffic Manager (LTM) 和 F5 Traffix Signaling Delivery Controller (SDC)。

  • BIG-IP AFM 是一种高性能、有状态、全代理的网络防火墙,它可以防御网络层的 DDoS 攻击(如 SYN 洪水),也可以防御会话层的攻击(如 SSL 洪水)。
  • BIG-IP ASM 是一种高级 Web 应用防火墙,它利用 F5 的深度应用流畅性来检测和缓解基于 HTTP 的攻击。
  • BIG-IP GTM 是一种可扩展的 DNS 和 DNSSEC 解决方案,可缓解基于 DNS 的网络和会话攻击。
  • BIG-IP LTM 是一种应用交付解决方案,增加了基于内容的智能流量管理。
  • Traffix SDC 是一种 Diameter 路由解决方案,提供拓扑隐藏和第三方合作伙伴的信令风暴保护。

为什么这个解决方案有效

F5 安全解决方案提供贯穿整个服务架构的重要功能:可扩展性、灵活性、应用可见性、可管理性和性能。因此,CSP 可以避免在服务交付架构的不同部分支持来自不同供应商的多个单点产品。这样就可以实现广谱安全,避免多供应商环境的成本和运营复杂性。

通过从统一平台提供动态的、多层次的安全功能,F5 解决方案能够简化 CSP 架构和运营,提高服务的可用性和可靠性,提供应用感知,并降低资本和运营成本。最终结果是卓越的网络质量,可以直接提高客户满意度。

关键功能和优势

F5 安全解决方案提供许多重要功能,以此满足 CSP 的全面服务交付架构需求。为了广泛发挥其优势,这些功能集成在统一平台中。

  • 全代理架构:这种架构使 F5 设备能够终止、检查和转发会话,以提供最高的可见性和控制。
  • 规模和性能。单一 F5 平台可扩展处理多达 5.76 亿个并发连接、640 Gbps 的吞吐量和每秒 800 万个连接,以缓解最大的容量攻击。
  • 统一平台:F5 平台在一个共同的系统架构上以软件支持服务的方式提供多种安全解决方案,以简化操作并降低总体拥有成本。
  • 灵活性和可编程性:F5 平台通过 F5 iRules 脚本语言提供定制安全策略的灵活性。它还通过 F5 iControl 和 F5 iCall API 提供自动编程和编排集成。用户可定制的框架通过 F5 iApps 模板简化并加快整个网络的安全部署。
  • 硬件和软件虚拟版本:F5 平台在专用的、高性能的硬件和软件虚拟版本上受支持,这些虚拟版本已为 NFV 做好准备,可提供终极的操作灵活性。
  • 可用性和可靠性:系统提供高可用性和可靠性,具有硬件冗余、同步、健康监测和自动故障切换/故障恢复能力。
  • 可管理性:复杂的管理套件使 CSP 能够集中管理防火墙策略,围绕具体的应用合理地定向安全策略,监测策略在所有设备上的有效性,并审核策略变化。
  • 各层 DDoS 感知和防护:BIG-IP AFM 可感知 DDoS,自动防止洪水,并能够以线速处理硬件部署中的几十种第 2 层至第 4 层攻击。F5 DDoS 解决方案在网络层、会话层和应用层提供安全保护。

商业利益

F5 安全解决方案为 CSP 提供诸多益处。

  • 简化架构和运营:F5 统一平台包含一系列用于数据和信令网络以及数据中心的安全解决方案,使服务提供商能够利用较少的单点产品和供应商简化其安全架构。解决方案平台的全面性还可以减少备份、培训和故障排除,并在整个交付基础架构中实现集中的安全策略控制。
  • 提升性能:F5 产品将安全功能整合到一个统一的高容量平台中,减少网络跳数和延迟,并提供硬件加速的安全性能。
  • 以无与伦比的可扩展性抵御容量攻击:F5 安全解决方案为服务提供商提供了一个高度可扩展的平台,可实现卓越的吞吐量、每秒连接数和并发会话,以保护高流量环境免受容量攻击。
  • 改善服务体验:F5 解决方案使服务提供商能够部署基于用户(而不 IP 地址)的策略,以防止攻击和威胁,确保更好的服务可用性和可靠性。因此,服务提供商可以维持用户信任,保护他们的服务质量、用户数据和声誉免受破坏性安全攻击。
  • 降低成本:F5 平台将安全功能整合到一个统一的框架中,以减少资本支出和运营支出。此外,F5 平台的高扩展性和高容量可降低总体拥有成本,因为这能够减少整体设备管理时间、占地面积成本和电力成本。
  • 提高操作灵活性:服务提供商可以通过 iRules 脚本语言应对零日攻击和其他威胁,而无需进行签名更新或新的软件升级。通过 iRules,F5 解决方案可以与编排系统进行通信和互动,以实现策略更新和外部监控,而 iControl API 则提供了带日志和报告系统的平滑接口。
  • 选择硬件或虚拟版本:F5 安全服务可以通过专用硬件(从一系列设备到基于机箱的系统)以及基于软件的虚拟版本来提供。这种组合提供了“按需付费”的灵活性,使系统与需求和预算相匹配。F5 还提供 Virtual Clustered Multiprocessing (vCMP),以实现设备和机箱刀片上的资源共享。
图示
F5 服务运营商安全架构

结论

面向服务运营商的 F5 安全解决方案为 CSP 提供了一个动态的、多层次的安全架构,以应对不断扩大的安全威胁 - 更不用说爆炸性的数据增长、稳定的收入流、4G LTE 升级以及快速变化的标准和技术。为了在这一充满挑战的环境中提供卓越和差异化的客户体验,CSP 必须运营可预测、可靠、可用、既不复杂也不昂贵的高质量网络。面向服务提供商的 F5 套件有助于保护整个基础架构,并能够在最苛刻的条件下以智能和灵活的方式扩展运行。

不同于只解决一类有限的安全问题的竞争性产品,F5 安全解决方案依赖于一个统一、可扩展的平台,其可以解决整个 CSP 基础架构中的威胁。F5 安全解决方案还提供贯穿整个服务架构的重要功能,以增强可扩展性、灵活性、应用可见性、可管理性和性能。因此,CSP 可以简化服务交付架构,提供广谱安全,并且避免单点式解决方案带来的多供应商环境复杂性或成本。