解讀F5《2022年應用策略現狀報告》

日前，F5釋出了面向IT決策人員的年度調查報告《2022年應用策略現狀報告》，揭示了應用安全和交付領域的幾大前沿趨勢，並對企業面臨的挑戰與關注的技術進行深度解讀，反映出隨著全球範圍內企業和機構數字化程度提高和愈發以應用為中心，伴隨而來的是更廣泛的新發展趨勢和潛在的風險。

據悉，該報告有超過1500名使用者參與調研，涵蓋10個重點行業及12個不同角色，其中有超過100位受訪人來自中國。陳亮表示，“國內和國外的企業在進行數字化轉型時，遇到的挑戰和想要解決的問題是相對一致的。中國企業是摸著石頭過河，希望有更好的參考和模板。”

▲F5安全事業部總經理兼金融及企業事業部技術總監陳亮

企業現代化全面推進

數字化轉型過程中有三個階段，分別是任務自動化、數字化擴充套件、人工智慧輔助業務。90%的企業正在實施數字化轉型，其中大多數企業同時處於多個階段，優先順序和進度稍有不同。在任務自動化階段，可以讓以“人工和月份”為單位的處理方式得到顯著提升，運營績效從2021年的25%提升到今年的33%。

在數字化擴充套件階段，產生了大量的應用和服務，應用之間相互結合，促使了競爭優勢和生產力得到廣泛提升。2021年數字化擴充套件只覆蓋了57%，今年已經提高至70%。在人工智慧輔助業務階段，人工智慧具備安全級的防護，提升運維效率，增加新的業務機會。人工智慧覆蓋率從去年的56%增長到今年的61%。

當前，應用已經成為我們生活、工作的核心。在IDC釋出的報告中，分析了福布斯排行榜前250位的公司。資料顯示，數字創新者在市場上表現出色，他們的營業收入在非常嚴峻的疫情之下也達到了26%的增長效果。而其他公司的營業收入要麼下降，要麼只有緩慢的提升。

F5洞察到，在轉型過程中需要平臺級解決方案，可為整個應用組合提供一致的保護、效能和資料訪問能力，不僅更易於管理，而且還能夠更好地幫助企業從孤島中釋放更多資料，從而實現人工智慧輔助。只有這樣，整個企業才可實時做出全面響應，以滿足客戶需求、開拓創新並更快速地將差異化服務推向市場。

應用環境持續改變

資料顯示，企業的應用組合趨向於平均包含200至1000個應用，這可以理解為非常多的企業在做大應用概念。另一個趨勢，應用從原來傳統的資料中心層面開始往邊緣化、多雲環境中進行部署。幾乎所有受訪者(88%的受訪者)都在各種環境(包括邊緣)中執行傳統和現代應用架構。

F5洞察到，混合架構(包括本地資料中心和XaaS產品)不會消失，而應用和工作負載將日趨容器化和移動化，這也意味著複雜性將隨之而來。為了應對這一挑戰不僅需要採用分散式雲架構，還需獨立於平臺的安全和交付技術，可跨不同環境為所有應用提供一致的保護、視覺化和效能，包括實時遙測技術和智慧技術來提高洞察力，從而達到提升防護的作用。

應用安全和交付技術不斷髮展

大量的企業使用21種應用安全和交付技術相關的架構和產品，以及服務的方式來保證應用安全、可靠、穩定的執行。96%的企業部署了身份與訪問管理技術，26%的應用安全和交付技術部署在邊緣，這是因為應用在向不同環境遷移的過程中，提出應用環境和交付的需求。

應用無處不在，可以部署在本地、公有云、邊緣、託管中心、SaaS/託管服務等。應用與“應用安全和交付技術”之間，並不是對等的關係。DDoS和API閘道器等安全服務可能在邊緣或邊緣附近提供最佳效能，可防止攻擊影響整個網路。同樣，基於身份的訪問控制可以在儘可能靠近使用者部署時發揮最大作用。

F5洞察到，應用及為其提供支援的安全和交付技術的部署位置越來越分散，而且通常隨著SaaS使用和邊緣部署的增加，部署位置可能日趨分散。企業可以根據優先事項和所需實現的目標，為每個應用安全和交付技術選擇理想的部署和使用模式。針對每種支援技術做出最佳決策需要認真研究，並與其解決方案可跨各種部署模型高效、一致執行的廠商建立合作關係。

安全防護日益轉向風險管理

供應鏈攻擊、密碼洩漏、零日漏洞等安全風險持續加劇。那麼，安全和效能之間如何保持平衡?很多受訪者給出的答案並不樂觀。報告顯示，78%的企業已經實施了API安全措施或計劃在未來12個月內實施，高達76%的受訪者表示願意關閉安全措施以提高效能。

企業需要在可接受的效能、客戶體驗和成本與可接受的保護和安全合規之間取得平衡。大力投資API的企業(包括自由使用XaaS的企業)需要採用現代化API安全方法。除了IT/OT融合和5G可能帶來的機遇以外，零信任與WAAP安全解決方案也是企業備受關注的關鍵領域。

F5洞察到，隨著應用和API(及其面臨的威脅)的持續激增，基於身份的安全防護迅速變得與較為傳統的威脅防禦方法一樣重要。幸運地是，企業在安全防護的重要性和新興的風險管理方法方面越來越協調一致，這推動了企業加大對應用安全防護的投資。

鑑於每天都有新的漏洞發現，採用基於身份的安全防護的企業將能夠結合情境管理威脅並繼續推進現代化，同時有效地平衡風險與效能。此外，在整個產品組合中更高效地部署和管理WAF、API安全防護及Bot防禦將有助於降低風險，並實現更好的整體風險管理。

增強戰略意識化解安全挑戰

報告顯示，98%的受訪者缺乏所需的洞察。擔任不同角色的受訪者認為，他們最需要獲得以下三個洞察: 39%的受訪者表示需要了解應用效能下降的根本原因;38%的受訪者表示無法獲得有關潛在攻擊的資訊;37%的受訪者表示缺乏對應用問題或事件根本原因的洞察。

資料和分析專案的首要任務是挖掘事件的根本原因，廠商特定工具、雲提供商工具和API、使用API等型別的技能短缺都在不斷增長。如果企業不僅希望更好地管理當前運營，而且還期望採用所需的更深入資料分析和機器學習(ML)來實現其人工智慧願景，那麼就必須解決技能短缺問題。

F5洞察到，如今IT團隊面臨的挑戰反映了企業系統無法跟上快速變革步伐，造成這種複雜性的技術創新無疑還將繼續推進下去，如果沒有更統一的資料訪問以及配套的工具和技能，人工智慧輔助將無濟於事。

企業可以採用SRE(站點可靠性工程)實踐和類雲操作，但為了靈活適應不斷加速的變化，企業日益需要部署獨立於平臺與環境的應用安全和交付技術。這些技術適用於現有架構，可在整個應用組合中交付一致的安全性、效能和視覺化。

超過四分之三(77%)的企業表示，他們目前正在採用或計劃採用SRE實踐，使用服務水平目標SLO著手解決預期的故障，以更順暢地管理事件，系統將發生故障的情況下繼續執行、滿足相關預期，透過資料提高效率、效能和自動化水平。

屬於F5的異類時刻

作為全球應用交付服務與應用安全“雙一流”科技廠商，F5在應用交付市場已經領先20餘年，並且穩居應用安全市場前兩位。在應用大爆炸、安全風險激增的當下，F5的定位是“讓更好的數字世界融入生活”，利用F5的力量，為客戶提供相應的交付能力、使用者體驗能力和安全防護能力。

▲F5縱深防禦，動態對抗安全架構

為什麼叫縱深防禦?無論是邊緣，縱深內部，還是應用前端，F5可以提供大量的防護能力。比如，WAAP(Bot、API、WAF、DDoS)四位一體安全防護、DNS安全、DDoS邊界安全、SSLO安全流量編排、零信任/SSL VPN、APM零信任、SSLO安全流量編排等。

傳統的WAF已死，但F5 WAAP四位一體安全防護可以力挽狂瀾。透過F5遙測與生俱來資料介面能力分析異常行為，可以監控大量的業務相關的介面，提供面向業務邏輯的安全防護策略，一致的強健WAF引擎，以及一致的安全策略，實現風險監測，精準安全防護。

為了應對IT和OT的融合趨勢，F5推出了Distributed Cloud WAAP，這是F5基於分散式雲服務平臺推出的首個新服務，它將F5解決方案的多項安全能力整合到統一的軟體即服務產品中。這項服務簡化了應用管理，並提升了安全性，實現了流程自動化，使應用團隊能夠集中精力於提供改善客戶體驗的服務。

關於未來，陳亮表示，“F5會積極的擁抱數字化轉型，擁抱本地化，提供更多本地化的服務產品、技術、和解決方案。我們也會積極的擁抱開源，把更多、更好、可信的開源技術傳遞給客戶，在數字化轉型當中有更多利用開源技術，利用更可信的開源技術幫助企業進行數字化創新、數字化轉型。”