隨著2015年初IESG正式批準(zhǔn)HTTP/2及HPACK標(biāo)準(zhǔn)，整個(gè)互聯(lián)網(wǎng)界在不久的將來有望迎來自1999年以來最大幅度的速度、效率與安全性能的提升。我們知道，HTTP2.0的推出，源自于互聯(lián)網(wǎng)形態(tài)在近些年產(chǎn)生的劇變，而HTTP2.0真正落地后，隨著網(wǎng)速的提升、帶寬成本的進(jìn)一步下降，又將刺激互聯(lián)網(wǎng)技術(shù)的進(jìn)一步發(fā)展。

面對這樣的技術(shù)更迭，數(shù)據(jù)安全策略是否也會發(fā)生變化，SSL的應(yīng)用將會面臨哪些挑戰(zhàn)？在SSL加速與卸載以及SSL VPN方面耕耘多年的F5公司亞太區(qū)安全架構(gòu)師金飛先生表述了自己的看法。金飛先生首先表示，在十年前，SSL 只是被金融機(jī)構(gòu)和一些特定組織（如公共部門機(jī)構(gòu)）用于安全性要求高的網(wǎng)站與服務(wù)的登錄頁面。如今，其應(yīng)用范圍已擴(kuò)展至大多數(shù)基于 web 的服務(wù)，而且正快速成為實(shí)際的通信協(xié)議。根據(jù) Gartner 的行業(yè)研究，到 2015 年末超過 50% 的全球互聯(lián)網(wǎng)流量將會被加密。 此外，TLS （Transport Layer Security Protocol安全傳輸層協(xié)議）協(xié)議的推進(jìn)乃至標(biāo)準(zhǔn)化，也使應(yīng)用之間的通訊加密成為了可能。SSL與TLS被廣泛接受確實(shí)從最大程度上保證了數(shù)據(jù)安全；但另一方面，隨著HTTP2.0的到來，加密流量的使用不斷增加，依賴防火墻、入侵防護(hù)系統(tǒng)和采用檢測系統(tǒng)的傳統(tǒng)方法可能無法繼續(xù)滿足需求。金飛強(qiáng)調(diào)：在未來，設(shè)備必須了解通過其本身的應(yīng)用數(shù)據(jù)流，才能更加有效能的進(jìn)行加密與解碼。簡言之，HTTP2.0時(shí)代的SSL與TLS應(yīng)該具備流量可視性與智能可控性。

金飛先生認(rèn)為，如防火墻這樣的傳統(tǒng)安全設(shè)備（如下圖），并不是為SSL量身打造。

所以，當(dāng)SSL數(shù)據(jù)量呈幾何數(shù)提高時(shí)，設(shè)備可能會面臨運(yùn)算能力下降，甚至導(dǎo)致喪失安全防御功能。究其原因，是因?yàn)檫@些設(shè)備無法正確的“理解”SSL流量，尤其是應(yīng)用流量。所以，利用第七層安全設(shè)備，在IT架構(gòu)安全層前就執(zhí)行SSL流量的智能解碼、分配與導(dǎo)流，在提升安全性的同時(shí)，還可以降低其他安全設(shè)備的壓力，同時(shí)提升效能。

這也正是F5被全球大量用戶已驗(yàn)證有效的SSL優(yōu)化方案。金飛先生表示，由于F5在應(yīng)用交付領(lǐng)域的深厚積累，使得F5更加擅長處理應(yīng)用流量的行為分析。舉例來講，傳統(tǒng)方式下，當(dāng)企業(yè)向外部用戶發(fā)送內(nèi)容，它需要使用設(shè)備卸載服務(wù)器的 SSL 流量，然后為流量插入保護(hù)。但是，傳統(tǒng)設(shè)備可能無法區(qū)分一個(gè)銀行賬戶查詢的會話與一個(gè)簡單的天氣查詢會話。隨著現(xiàn)在應(yīng)用種類的繁多，簡單會話的流量加密會浪費(fèi)大量的運(yùn)算資源。通過F5，IT管理人員可以通過簡單配置，使用F5設(shè)備對非核心應(yīng)用解碼，同時(shí)將核心或可疑流量轉(zhuǎn)發(fā)至指定的安全設(shè)備上。F5 的全代理架構(gòu)支持無縫的轉(zhuǎn)換和解密，同時(shí)還能為內(nèi)部和外部通信部署獨(dú)立連接。這種終止 SSL 會話的能力還可以使 IT 人員更簡便的加密對外流量、以及按需使用舊的 HTTP。IT 人員無需中斷和替換整個(gè) web 應(yīng)用基礎(chǔ)架構(gòu)就能從 HTTP/2.0 中獲益。 

金飛先生最后表示，網(wǎng)絡(luò)威脅的發(fā)展一直與安全技術(shù)的發(fā)展同步。網(wǎng)絡(luò)犯罪分子現(xiàn)在可以實(shí)現(xiàn)使用 SSL 繞過安全設(shè)備實(shí)施攻擊。SSL 流量內(nèi)隱藏的惡意軟件也能輕松繞過安全平臺。Gartner 預(yù)測，到 2017 年，超過 50% 的針對企業(yè)網(wǎng)絡(luò)的攻擊將使用 SSL 繞過安全設(shè)備。這也就意味著單純的“加密”在HTTP2.0時(shí)代可能會面臨更多的挑戰(zhàn)。F5認(rèn)為加強(qiáng)對應(yīng)用流量本身的理解，從而做到可視、可控，才是應(yīng)對“流量爆炸”所帶來的安全隱患的合理解決方案之一。