你以為A10 Networks只做應用交付？

2004年創立的A10 Networks是一家 「應用交付」產品的知名廠商。但實際上，A10的抗D和加解密等網路安全能力的理解和積累也不容小覷。本月初，A10今年的「All About Apps」巡展首站在北京舉行，安全牛記者來到現場，並將A10的核心安全能力整理如下。

領先的抗DDoS能力

A10 認為，智能、性能和安全是應用(application)最為重要的三個能力點，而因DDoS而導致的業務中斷，則是成本最低、對應用「體驗」破壞最為強烈的。

A10早在2014年初就推出了其DDoS防護產品(Thunder TPS)，目前在微軟Azure雲、軟銀、暴雪&網易遊戲等大量部署。其中僅微軟一家就花費3,600萬美元，用於其全球數據中心的流量清洗。

TPS的核心優勢有如下三點：

1. 自主研發的高效內核操作系統架構

傳統的DDoS防護產品一般採用通用架構，這使得硬體受其限制而無法在諸如遊戲、金融、雲服務等對低時延、高性能和穩定性有剛性需求的行業大量部署。而A10 Networks自行研發的高效內核操作系統架構——ACOS，則可將多核系統的性能進行最大程度的優化。

ACOS架構

TPS所支持的內核數可達72個，用於專門處理針對應用層的DDoS攻擊，而網路層的洪泛攻擊防護則由已寫入流量篩選參數可編程邏輯門陣列實現。TPS最高可對2.4Tbps的流量進行清洗，並針對6.4萬個被保護對象(PO)、6,400萬個並發源進行追蹤，以進行細粒度的策略配置。

2. 命令行級的集成能力

現階段出於商業模式的原因，A10而沒有建設雲清洗中心，但其和第三方解決方案的命令行級別的集成能力卻對這一點做了補充。通過在TPS上開放相當於「使用命令行進行遠程運維」的控制介面，TPS的能力可以完全地開放並和第三方雲清洗中心及SOC實現快速聯動；結合A10自身或第三方威脅情報，也可實現更主動地對攻擊流量的有效攔截。

旁路部署的清洗設備在事前無法通過流量進行學習，那麼良好的可編程性，即更快速、靈活的策略下發，則是對安全事件快速響應的關鍵。

在A10的Azure雲的案例中，微軟通過其自有的安全運營中心(SOC)，實現對當前網路中TPS的狀態和性能，及其到可疑攻擊點的距離等參數進行實時監控，並通過自動化地安全策略的下發及流量牽引，實現快速響應。

3. 高效SSL流量加解密能力

SSL加密的廣泛使用，帶來了新的安全盲點。目前許多安全設備都具有SSL的加解密能力，但受限於硬體性能以及對SSL協議的理解，如果大量安全設備開啟SSL功能，會出現不可避免的時延，過多系統資源被佔用等問題；同時，安全採購的花銷也會上升。

TPS本身內置SSL加解密模塊，利用ACOS架構的性能優勢，在不影響流量清洗性能的前提下將時延控制在允許範圍之內。同時，A10還提供SSL透視方案，通過對網路流量的一次加解密，使所有可疑流量以明文的形式通過原有安全設備，降低因SSL功能引入而提高的安全成本。

除此以外，通過將url過濾和粗粒度解密技術的結合，還可以實現對諸如銀行等特定站點訪問時個人隱私的保護。

混合雲環境下的應用交付方案

介紹完A10在核心安全能力後，再簡單介紹下A10在今年4月發布的Harmony跨雲應用交付方案。

用戶對應用交付後的安全和管理需求隨著ADC的普及而增加；同時，隨著企業的工作負載開始大量往雲端（混合雲）遷移，混合雲環境下的應用交付也會成為安全能力輸出的載體。

2016年7月末，A10正式宣布收購位於Gartner 2015年企業網路最酷廠商之列的Appcito。利用微服務和容器技術，Appcito實現了基於SaaS的混合雲ADC解決方案。而就在今年4月，A10發布了其混合雲應用交付方案Harmony。

混合雲環境下應用的集中管理、對數據流的可視化分析、彈性的可擴展架構以及安全防護等問題一直是應用交付的難點所在。Harmony可以實現一致策略，並提供性能監控、故障排查、安全防護、應用灰度發布（原有服務不中斷的同時進行新app部署）等能力。同時，通過數據和控制層彼此獨立的架構，Harmony還可實現按需的應用擴展和彈性資源調度。

安全牛評

隨著網路廠商對自家產品安全能力需求的不斷增加，安全早已不再是安全廠商的專利。結合之前在多核操作系統性能優化上的積累以及對應用安全的理解，A10 Networks能在抗D、SSL加解密等方面表現出極強的安全能力也就不難理解。之後類似由網路延展到安全領域的廠商的數量必會不斷增加，其安全產品的競爭力也將不容小覷。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！