Tag Archives: ADC Security

ADC行业的转型之二 – 安全

       在“负载均衡/应用交付行业的发展历史与市场格局”(下文中简称为“发展历史”)一文中,已介绍过ADC(应用交付控制器)的概念和发展历史。实际上,ADC行业已经历过一次转型,即由单纯的负载均衡向具备综合能力的应用交付的演进,将应用安全和应用加速纳入到ADC设备的能力圈。

       ADC的概念已经宣传了很久,效果如何呢?首先值得肯定的是,ADC产品开始更多地关注应用,对金融、电信、石化等行业应用的支持更加广泛,对互联网Web应用的支持更加深入,如对7层信息的解析、优化等。但如“发展历史“中所述,很多人对ADC产品的整体印象依然停留在“负载均衡”上,原因何在呢?下面是我的一点分析。

  1. 行业内的众多厂商并没有真正认识到向ADC转变的价值所在,只是被动地跟随F5、Citrix等领导厂商,以至于这些厂商的内部人员都并不清楚应用交付控制器与负载均衡的关联与异同。反映到市场推广上,ADC的字眼更多地体现在宣传文案上,但ADC产品的理念并未清晰地传达给客户。   
  2. ADC成了个框,什么都往里装。很多厂商的ADC产品中,的确扩展了不少负载均衡之外的特性,但这些特性多是零散的、不成体系的功能,并不能构成完整的解决方案,导致应用安全和应用加速无法像负载均衡(应用可用性)那样具有真正的市场吸引力。很多厂商怕是没有底气去推广安全和加速。
  3. 客户运维团队的分工也是个原因。本人了解到的一些情况是,有些客户的运维团队分成若干部门,应用、安全和网络各司其职,而ADC产品依然被习惯性地划在网络组的责任范围内,这也导致了ADC的价值无法充分发挥。

       总的来说,我认为这一次转型,并不算特别成功。所以ADC行业的领导厂商开始新的尝试,努力将应用安全解决方案做到深入人心。谈ADC的时候,依然会涉及安全,但将安全单列出来重点强调,以期望市场给自己贴上一个新的标签 – “安全厂商”。这次ADC厂商跨界安全,我将其视为ADC行业的第二次转型。向安全的拓展,是对第一次转型的延续,但这次是真正地下大力气做,不只是停留在概念上。从目前的情况看,部分厂商已经初获成功,做的较好的依然是F5,一些分析师已将F5列为“ADC和安全”厂商,Radware也向外界清楚地传递了其做好安全的信号。      

       目前的进展

       第一次转型中,ADC市场的竞争格局并没有出现太大的变化。而此次向安全领域的开疆拓土,必将导致ADC阵营的明显分化。做好ADC基本市场、果断向安全拓展的厂商将进一步巩固领导地位,因循守旧、小富即安者面临掉队风险。
       下面以Gartner 2014年ADC魔力象限报告的入围者为分析对象,观察ADC厂商在安全业务上的进展状况。
       

                           

       可以看出,WAF、DDoS与SSL Interception是重点。 需要注意的是,厂商的公开宣传资料中可能会存在一点“包装”,有些方案或功能敢写出来,我相信一定是有的,但是否具有真正的商用能力,需要实际客户案例的支撑。      

       WAF

       WAF,即Web Application Firewall。Gartner在2014年6月发布了首份WAF魔力象限报告,值得关注的是,ADC厂商中F5、Citrix、Barracuda位列2、3、4名,Radware也排名靠前,超越很多传统安全厂商,非常意外。

       

       

       DDoS

       F5有L3~L7的完整解决方案,与传统的集中式DDoS清洗设备不同,F5将DDoS防御功能分散在AFM、ASM、LTM、GTM等等多个产品模块中,部署在网络的不同位置。近期F5对defense.net的收购与整合,更是将DDoS防御能力扩展到了云平台上。F5与Arbor Networks的正面竞争由此拉开帷幕。

       Radware也有完整的DDoS防御方案,Radware的优势在于其对新技术的追踪,与Cisco、NEC及OpenDaylight SDN控制器都有很好的集成。Radware也建设了自己的云防御平台DefensePipe。

       A10去年推出Thunder TPS,开始大力推广DDoS防范,并将其列为公司三大核心产品系列之一与F5不同的是,A10的方案是独立的、具有全方位防护能力的专有硬件设备。此类产品一般位于运营商、IDC的清洗中心,或是企业网的入口位置。A10对TPS非常重视。

       Citrix也有DDoS功能,但与上面三家相比,在产品方案上、市场宣传上都有一定的差距。 

       SSL Interception

       ADC厂商在SSL上的优势是相当明显的,完善的功能和超强的性能,是传统安全厂商无法媲美的。可以说,SSL处理能力最好的产品一定是在ADC行业里,无论是吞吐、TPS还是CC。为什么呢?ADC的位置决定的。ADC部署在服务器前端,通常承担着SSL卸载与加速的重任,客户端的SSL请求最终是在ADC设备上终结的。与其他产品多是利用OpenSSL开发不同,ADC产品中的SSL协议栈一般是自主研发,否则根本没有竞争力可言。F5、Citrix、Array、A10的SSL都是不错的。正是由于ADC产品在SSL上的优势,SSL Interception很自然地成了ADC厂商的业务之一。

       由于大家对互联网安全的重视,SSL得到了广泛的应用。但这也给防火墙、上网行为管理、DDoS清洗设备等带来了很大麻烦,对SSL加密的内容无法分析,将可能导致内网信息泄密或遭受外网攻击,如果要对SSL解密,性能又跟不上,这些传统的安全设备在SSL方面的经验积累并不够。于是,就产生了一个新的整合解决方案,由高性能的SSL Interception设备专职负责SSL解密,安全设备负责对明文内容进行安全分析。F5、Radware与A10均有此解决方案,其中A10较为出色,A10与Palo Alto和FireEye都有合作方案。

       顺便提一句,在拓展SSL业务方面,我认为A10是值得学习的,A10与CA证书、安全厂商等均有合作伙伴关系,最大限度地、系统地挖掘其产品的SSL优势。Array在双向认证方面,是有绝对领先优势的,但在与其他厂商的联合解决方案上表现不够积极,未能充分发挥其SSL的优势。实际上,对于ADC厂商而言,在SSL方面的拓展,是非常值得投入的,这是一个ROI很高的领域。      

       机遇

       先谈机遇,再谈挑战。
       ADC行业之所以对安全重视,实际上还有一个很重要的背景,是传统的ADC市场增速放缓。F5、Radware等上市公司必须要寻找新的市场以支撑投资者的信心。从美股市场看,目前安全概念股非常受人追捧。向安全领域的拓展能让市场修正对这些公司的估值。 

(2014年11月13日收盘数据)                

 

Imperva

Barracuda

Palo
Alto

F5

Radware

A10

市值

$12亿

$18亿

$87亿

$93亿    

$9.2亿

$2.5亿

股价

43.39

34.36

108.89

126.15

20.32

4.16

市盈率

-19.8

881

-35.7

30.8

43

-5.5

市净率

12.7

161

18

6.7

2.7

2.36


       

    

       另外,有不少客户,尤其是中小客户,希望简化网络,整合服务器前端网络设备,比如WAF、DDoS和ADC的融合。ADC的关键部署位置,为ADC厂 商积累了丰富的应用层处理经验,对应用安全的支持并非难事。而一在次销售过程中,推广多种有关联的产品,也会节省推销成本,增加产出。

       挑战

       ADC厂商向安全的“跨界”,也面临很多挑战。

  • 品牌形象。说到安全,很多客户会很敏感。ADC厂商在安全领域的品牌形象需要花力气建设。F5已获得市场认可,但对其他公司来讲,并不容易。
  • ADC厂商的介入,必然会触及其他传统安全圈的利益,也自然会遭遇围堵。

       我建议,ADC厂商一定要聚焦于应用,不急于在安全领域大范围扩张,把应用层相关的安全做好,最容易打动客户。 建设好根据地之后,再考虑扩大地盘,比如F5,已经涉足传统防火墙和终端安全。

    新的竞争对手

       以后的竞争,将不再局限在F5,Citrix,Radware,A10等几个公司之间。随业务范围的扩大,同时也会引来新的竞争对手。在WAF方面,Imperva是行业老大,而在DDoS方面,Arbor Networks是领导者。 

       概括起来,ADC行业向安全的转型,胜利在望,而ADC阵营的分化也同时显现,在第三次转型-应对云挑战的过程中,差距将越来越大。