F5 - Managing and Securing Application Traffic in ...download.microsoft.com/.../20160414_AzureMarketplace_Session4.p… · ns .[( " `5#1 è9t0Ú ñfÙjÖ fÕ"4 ¬ ç1÷ è9tg ;j1÷@¡fÙjÖ

管理和保護應用流量在微軟AzureAlen Lin , 林志斌資深技術顧問F5 Networks Taiwan

© F5 Networks, Inc 2

F5願景–為客戶提供最安全、快速、可靠的L4-L7服務應用程序佈署在資料中心、私有雲、公有雲、與SDN環境F5提供...

• 依據策略、內容、應用程序健康狀態和網路條件提供進階的L4-L7應用交付和安全服務。

• F5㇐直是身為提供企業應用交付與安全管理㇐個值得信賴的合作夥伴。• vADC(2)市場的領導者

F5 Positioned as a Leader in 2015 Gartner Magic Quadrant for Application Delivery Controllers, 9Consecutive Years*

F5 is highest in execution and furthest in vision within the Leaders Quadrant.

* Source: Gartner, Magic Quadrant for Application Delivery Controllers, Mark Fabbi, Andrew Lerner, October 2015

2) Source: Dell’Oro Report 2015


• 超過14年深厚的合作夥伴• 豐富的產品開發團隊夥伴• ㇐個專門基於微軟的開發團隊• 成功並持續推行的合作策略

• SharePoint服務器、Exchange服務器、Lync服務器• Office 365的聯合身份驗證• Hyper-V的網絡虛擬化• 雲計算平台系統

現在， F5 BIG-IP在Azure雲服務上提供流量與安全管理服務方案

F5 / 微軟的合作關係


雲計算與IT策略SaaS

(Software as a Service)

公共雲計算平台

實體虛擬

?


Azure雲計算平台策略

Public, Global, Shared DatacentersMicrosoft Azure Stack & Cloud Platform SystemSe

curity

& Ma

nage

ment

SaaS(Software as a Service)O365, CRM, VSO etc…+3rd Party SaaS Solutions

Public Cloud Platform

HybridOperationsSe

curity

& Ma

nage

ment Hybrid

Operations


F5 應用程序為中心的策略：可擴展、統㇐管理、高效能

UserSaaSPublicCloud

Data Center

Apps

HYBRID CLOUD CONFIDENCE

SECURITYANYWHERE

BUSINESSAGILITY

深入洞察業務數據，以更好地保護資產

為每㇐個應用程序提供㇐致的服務部署模式

不同雲服務的複雜性抽象化了

應用交付服務在微軟Azure


• 部署應用程序在微軟的Azure• 幫助各種規模的企業提高可擴展性，同時降低基礎架構和運營成本• 提供安全性，靈活性和㇐致的應用交付服務• 實現㇐個靈活的混合雲架構的優勢

F5 BIG-IP 應用交付服務在微軟Azure加強安全，提高效率，優化性能


工作負載不具有可移植性Data Center 1

Apps

Data Center 2

AppServices

不㇐致的安全策略

自定義應用程序服務

受限的應用服務

1

23

Sources: ¹RightScale 2015 State of the Cloud Report, 2Cloud Security Spotlight Report ‒ Information Security LinkedIn Group

1

“82％的客戶正在遷移到混合雲環境” • 應用服務遷移到㇐個或多個雲服務增加了更高的複雜性和風險性安全性是排名• 安全是第㇐的關注項目• 應用程序應需要可以移植到任何雲供應商避免雲供應商綁定

挑戰：缺少橫跨混合雲環境的應用程序㇐致性管理服務


工作負載可移植性Data Center 1

App Servers

Data Center 2

AppServices

㇐致的安全策略

強大的應用服務

Consistent App Services標準化的應用程序和安全服務

應用程序為中心的策略• 業界領先的應用交付和安全服務無處不在值得信賴的擴展能力• 降低複雜性和風險㇐致策略和配置• 允許雲供應商的選擇和應用的可移植性與靈活的雲授權

解決方案：領先的應用流量安全管理服務在整個混合雲環境


• 挑戰• 應用程序的正常運行時間和應變能力• 缺乏應用程序的控制和靈活性• 災備• 慢速執行的應用程序和延遲

• 推薦應用交付服務• 當地及全球流量管理，DNS• SSL卸載和攔截• 編程腳本和應用程序模板• HTTP /2，TCP和網絡優化

交付應用程序的可用性和性能

主要優勢• 交付客戶SLAs• 監控和動態地響應問題• 確保業務連續性• 滿足用戶的業績預期


• 挑戰• 進階的威脅和應用程序漏洞• 管理複雜性• 保持持續符合規範

• 推薦的安全服務• 網頁應用防火牆• 第7層DDoS攻擊緩解• 反惡意程序/反欺詐• IP信譽智能服務

充分利用全代理架構了解應用流量到保護資產

*Alert Logic Cloud Security Report 2015

*

主要優勢• 維護品牌形象和收入來源• 實現㇐致的策略管理以及風險降低• 避免規範違規處罰


• 挑戰• 複雜多樣的應用程序訪問• 來自欺詐性接入保護資產• 實施多因子驗證(MFA)• 洞察訪問: Who, what, when

• 推薦的安全服務• 應用訪問存取和策略管理

具有統㇐應用程序存取策略滿足安全要求

主要優勢• 加強安全狀態• 簡化並通過單點登錄（SSO）和多因子驗證（MFA）安全應用接入• 提供詳細的合規性集中式日誌記錄


完整的混合雲應用服務組合適用於所有的應用程序架構

LAYER 4-7STATEFULSERVICESNetworkFirewallIdentity and AccessDDoSProtectionGlobal Load Balancing Malware Detection

Application SecurityLocal LoadBalancing Application Performance Secure Web Gateway DNS Services

SSL VPNWeb ApplicationFirewall

IPv6 Services

HIGH PERFORMANCE SERVICES FABRIC

VIPRION BIG-IP Virtual Edition Silverline

Silverline


應用服務類別應用服務內容• 服務不中斷• Availability

• 負載平衡SLB、跨資訊中心負載平衡GSLB、異地備援、雙中心、• IPV6轉換、DNS方案、Cloud Bursting、電信CGNAT、L7的應用控制

• 強化效能• Performance

• TCP優化、資料壓縮、Caching、QoS流量控制(Traffic Shaping)、SSL Offloading、廣域網路優化(dedup/compression/protocol optimization)、WEB加速(SPDY Gateway)、行動化加速(3G Network)

• 安全服務• Security

• DDOS防護、應用防火牆(WAF)、網路防火牆、DNS防護、防資料外洩、通訊協定安全防護(HTTP,SMTP,FTP)、SSL內容檢視與過濾• 存取與身份認證• Access & Identity

• SSL VPN、SAML 身份認證、端點管理、Web單㇐登入、應用單㇐登入、Cloud Federation、VDI存取整合• 行動化服務• Mobility

• 行動應用生命週期管理、行動裝置生命週期管理、裝置定位、防資料外洩、資料抹除

資訊架構的關鍵控制點-F5完整的應用交付服務解決方案

• 【iThome 2015年CIO大調查(上)】Office導入需求分析• 今年企業Office雲端化需求浮現，整體企業平均有超過2成的員工使用雲端Office，加上企業開始普遍使用平板，顯示企業應用程式正逐漸轉型(http://www.ithome.com.tw/article/93940)

• 【iThome 2015年CIO大調查(中)】行動應用趨勢分析• 連三年過半企業有意採用行動應用，今年破4成企業花錢投資，平均投資金額超過200萬元，近9成政府機關與學校積極採用(http://www.ithome.com.tw/article/94091)

• 【iThome 2015年CIO大調查(中)】企業開發趨勢分析• 行動與傳統開發技術並重，App開發潮帶動持續整合爆紅，臺灣已有超過四分之㇐企業採用開源軟體(http://www.ithome.com.tw/article/94146)

• 【iThome 2015年CIO大調查(中)】雲端採用趨勢分析• 今年雲端採用意願連續3年增加，過半企業想上雲端，目前僅㇐成企業真正成為雲端企業，政府機關與學校的雲端化速度最快。政府雲,金融業,服務業,醫療業與高科技製造業,㇐般製造業(http://www.ithome.com.tw/article/94084)

• 【iThome 2015年CIO大調查(中)】虛擬化採用趨勢分析• 超過5成的臺灣企業看重伺服器虛擬化Appliance採購，軟體定義產品需求萌芽，已有少數企業計劃採購軟體定義產品(http://www.ithome.com.tw/article/94143)

• 【iThome 2015年CIO大調查(上)】資安採購動向分析• 今年十大資安採購重點項目，過半企業優先選擇基本的防毒防駭軟體，近1成企業願意採用新興APT以及DDoS防護方案(http://www.ithome.com.tw/article/94004)

壽險產險客戶• 電商化網路投保 (產險)• 行動化投保 (壽險)• 線上保險平台 (保險經紀人)

交通運輸產業• 網路查詢訂票• 電商行銷服務• 航空業的行動化

製造服務產業• 彈性化最佳化製造• 研發資料不落地防竊資• 製程自動化資訊化管理

電子支付• 電子支付平台建置• 行動化客戶管理系統• 線上交易查詢平台

線上娛樂• 網路儲值交易服務平台• 客戶管理及互動服務平台• 建置高度資訊安全管理機制

網路商展服務產業• 實現虛實整合通路發展• 研發資料不落地防竊資• 結合電子支付平台

金融服務業• Bank 3.0 & Fintech• 金融業務網路化• 核心系統轉型計畫

電信服務業• 協助各產業智能化解決方案• 電信金融電商跨產業整合• 大數據整合雲端服務應用

政府公眾服務業• 智慧城市• 雲端政府• 政府資安防護規範


F5’s BIG-IP and Azure: Better Together相輔相成的微軟Azure部署與業界領先的F5應用交付解決方案

Hybrid-Cloud Deployment App and Security Services BUSINESS AGILITY

• 藉由F5可以協助企業提供最安全快速高可用的用用給任何客戶，無論任何時間地點和通過任何設備。• ㇐致性的應用程序服務在內部部署以及Azure中• 安全、策略驅動的單點登錄管理• 網頁應用防火牆和DDoS保護。• 法規遵從（PCI DSS，ISO等）。• SSL卸載和安全檢查與4-7層流量管理• DNS 防火牆和DNS負載均衡。

• 管理和保護關鍵應用如同您在內部部署時同樣的方式• 通過在計劃內維護或是意外停機可將使用者重新導向可用的且最接近的Azure數據中心保持業務的連續性。• 可將後端的敏感數據保持內部作為關鍵部署，前端Web/應用程式則部屬於Azure，保持彈性與兼顧安全。

• 提供完整的可編程性腳本協助可實現滿足客戶多樣的需求。• 通過完整的REST APIs實現多重面相的協同作業與管理。• 充分利用F5的專業知識和最佳實踐範例應用程序範本實現自動化應用部署。• 充分利用F5 DevCentral社群網站和F5與微軟專家或超過

200K+的會員互動提供最佳解決方案進而提昇更高的投資回報。


• 申請BIG-IP 試用序號• 購買BIG-IP Lab Edition

如何開始？

2

1 YouTube Video搜尋關鍵字 – BIG-IP Azure Demo


• The BIG-IP Platform and Microsoft Azure: Application Services in the Cloud - White Paper https://f5.com/resources/white-papers/the-big-ip-platform-and-microsoft-azure-application-services-in-the-cloud• F5 Application Services in Microsoft Azure – Solution Profile http://www.f5.com/pdf/solution-profiles/f5-big-ip-microsoft-azure-solution-profile.pdf• F5 and Microsoft partnership information and joint solutions - Web Site https://f5.com/solutions/technology-alliances/microsoft

想了解更多？ For YourReferencei

如有問題或需要更多資訊，請訪問：https://interact.f5.com/2016ALLF-Talk-to-F5_Azure-LP.html


昨日的數據中心：靜態，有限，簡單User

Software Availability

FirewallDedicated Hardware

Dedicated Hardware Server

AppSoftwareDatabaseSoftware

Dedicated Hardware Security

通過在內部部署投資推動業務增⾧控制裝置，部署和數據 - 中心風險緩解

管理服務器數量激增與IT資源的最大化平衡


今天的數據中心：變動、敏捷、複雜

UserSaaSPublicCloud

Data Center

通過採用雲計算推動經濟增⾧，實現對客戶SLA保護應用於數據中心邊界，使能符合規範

實現DevOps與IT戰略的㇐致性，推動成本效益


強制實施基於雲的應用程序使用㇐致性的訪問存取

Mobile/ Remote Users

Attackers

Office 365

SalesforceIdentity Federation

SAMLReal-time access control

Access policy enforcement

On-Premises Data Center

CorporateApplicationsF5 Access ServicesDirectoryServices

Corporate Users (Employees/Contractors)

SAMLIdentity management

Multi-factor authenticationPrivateCloud AppsApplication Access +

Policy Management + Compliance

SaaS Apps

Public Cloud

F5 Access ServicesDirectoryServices

SAMLIdentity management

Multi-factor authentication Application Access + Policy Management +

Compliance

Apps

Identity Federation


擴展的可用性和性能到基於雲的應用

Network OptimisationApp Proxy + Local Traffic Mgmt + DNS/GSLB + App Optimisation + SSL Offload + Programmability

Network OptimisationApp Proxy + Local Traffic Mgmt + DNS/GSLB + App Optimisations + SSL Offload + Programmability

Web/App TierPublic Cloud

Backend Database

Web/App TierOn-Premises Data Center

Backend Database

ISP

RemoteEmployees

Attackers

Customers

Symmetric Compression/Data Deduplication

DistributedDNS/GSLBApps

F5 Availability and Acceleration Services

AppsF5 Availability and Acceleration Services


擴展應用程序保護基於雲的應用PCI DSS Compliant Infrastructure

+ Web Application Firewall + IPI +

Malware/Fraud Protection

Public Cloud

App Protection:Geo-location attack protection, DDoS, botnets, web scraping,OWASP Top Ten attacks, zero-day threats, AJAX applications, JSON payloads, app vulnerabilities

On-Premises Data Center

Attacker

User

Integration with VulnerabilityAssessment/DAST Tools

App Security Services +Threat Protection Intelligence

Commodity Server VIPRIONApps

F5 Security Services Apps

Integration with VulnerabilityAssessment/DAST Tools


• All BIG-IP modules available• Bring Your Own License (BYOL) initially• Single NIC support• Dynamic routing • Max throughput 1 Gbps• 30-day free trial via eval license (BYOL)

BIG-IP Virtual Edition in Azure Marketplace


• 相輔相成的微軟Azure部署與業界領先的F5應用交付解決方案• 管理和保護關鍵應用如同您在內部部署時同樣的方式主要區別

• ㇐致性的應用程序服務在內部部署以及Azure中• 基於雲的和在內部SSL卸載和狀態的4-7層流量管理• 部署應用的高可用性• 安全、策略驅動的單點登錄• Web應用程序的安全性和DDoS防護• 子網隔離和應用程序為中心策略實施

總結

Documents

F5 - Managing and Securing Application Traffic in ...download.microsoft.com/.../20160414_AzureMarketplace_Session4.p… · ns .[( " `5#1 è9t0Ú ñfÙjÖ fÕ"4 ¬ ç1÷ è9tg ;j1÷@¡fÙjÖ