日前，F5发布了面向IT决策人员的年度调查报告《2022年应用策略现状报告》，揭示了应用安全和交付领域的几大前沿趋势，并对企业面临的挑战与关注的技术进行深度解读，反映出随着全球范围内企业和机构数字化程度提高和愈发以应用为中心，伴随而来的是更广泛的新发展趋势和潜在的风险。

据悉，该报告有超过1500名用户参与调研，涵盖10个重点行业及12个不同角色，其中有超过100位受访人来自中国。陈亮表示，“国内和国外的企业在进行数字化转型时，遇到的挑战和想要解决的问题是相对一致的。中国企业是摸着石头过河，希望有更好的参考和模板。”

▲F5安全事业部总经理兼金融及企业事业部技术总监陈亮

企业现代化全面推进

数字化转型过程中有三个阶段，分别是任务自动化、数字化扩展、人工智能辅助业务。90%的企业正在实施数字化转型，其中大多数企业同时处于多个阶段，优先顺序和进度稍有不同。在任务自动化阶段，可以让以“人工和月份”为单位的处理方式得到显著提升，运营绩效从2021年的25%提升到今年的33%。

在数字化扩展阶段，产生了大量的应用和服务，应用之间相互结合，促使了竞争优势和生产力得到广泛提升。2021年数字化扩展只覆盖了57%，今年已经提高至70%。在人工智能辅助业务阶段，人工智能具备安全级的防护，提升运维效率，增加新的业务机会。人工智能覆盖率从去年的56%增长到今年的61%。

当前，应用已经成为我们生活、工作的核心。在IDC发布的报告中，分析了福布斯排行榜前250位的公司。数据显示，数字创新者在市场上表现出色，他们的营业收入在非常严峻的疫情之下也达到了26%的增长效果。而其他公司的营业收入要么下降，要么只有缓慢的提升。

F5洞察到，在转型过程中需要平台级解决方案，可为整个应用组合提供一致的保护、性能和数据访问能力，不仅更易于管理，而且还能够更好地帮助企业从孤岛中释放更多数据，从而实现人工智能辅助。只有这样，整个企业才可实时做出全面响应，以满足客户需求、开拓创新并更快速地将差异化服务推向市场。

应用环境持续改变

数据显示，企业的应用组合趋向于平均包含200至1000个应用，这可以理解为非常多的企业在做大应用概念。另一个趋势，应用从原来传统的数据中心层面开始往边缘化、多云环境中进行部署。几乎所有受访者(88%的受访者)都在各种环境(包括边缘)中运行传统和现代应用架构。

F5洞察到，混合架构(包括本地数据中心和XaaS产品)不会消失，而应用和工作负载将日趋容器化和移动化，这也意味着复杂性将随之而来。为了应对这一挑战不仅需要采用分布式云架构，还需独立于平台的安全和交付技术，可跨不同环境为所有应用提供一致的保护、可视化和性能，包括实时遥测技术和智能技术来提高洞察力，从而达到提升防护的作用。

应用安全和交付技术不断发展

大量的企业使用21种应用安全和交付技术相关的架构和产品，以及服务的方式来保证应用安全、可靠、稳定的运行。96%的企业部署了身份与访问管理技术，26%的应用安全和交付技术部署在边缘，这是因为应用在向不同环境迁移的过程中，提出应用环境和交付的需求。

应用无处不在，可以部署在本地、公有云、边缘、托管中心、SaaS/托管服务等。应用与“应用安全和交付技术”之间，并不是对等的关系。DDoS和API网关等安全服务可能在边缘或边缘附近提供最佳性能，可防止攻击影响整个网络。同样，基于身份的访问控制可以在尽可能靠近用户部署时发挥最大作用。

F5洞察到，应用及为其提供支持的安全和交付技术的部署位置越来越分散，而且通常随着SaaS使用和边缘部署的增加，部署位置可能日趋分散。企业可以根据优先事项和所需实现的目标，为每个应用安全和交付技术选择理想的部署和使用模式。针对每种支持技术做出最佳决策需要认真研究，并与其解决方案可跨各种部署模型高效、一致运行的厂商建立合作关系。

安全防护日益转向风险管理

供应链攻击、密码泄漏、零日漏洞等安全风险持续加剧。那么，安全和性能之间如何保持平衡?很多受访者给出的答案并不乐观。报告显示，78%的企业已经实施了API安全措施或计划在未来12个月内实施，高达76%的受访者表示愿意关闭安全措施以提高性能。

企业需要在可接受的性能、客户体验和成本与可接受的保护和安全合规之间取得平衡。大力投资API的企业(包括自由使用XaaS的企业)需要采用现代化API安全方法。除了IT/OT融合和5G可能带来的机遇以外，零信任与WAAP安全解决方案也是企业备受关注的关键领域。

F5洞察到，随着应用和API(及其面临的威胁)的持续激增，基于身份的安全防护迅速变得与较为传统的威胁防御方法一样重要。幸运地是，企业在安全防护的重要性和新兴的风险管理方法方面越来越协调一致，这推动了企业加大对应用安全防护的投资。

鉴于每天都有新的漏洞发现，采用基于身份的安全防护的企业将能够结合情境管理威胁并继续推进现代化，同时有效地平衡风险与性能。此外，在整个产品组合中更高效地部署和管理WAF、API安全防护及Bot防御将有助于降低风险，并实现更好的整体风险管理。

增强战略意识化解安全挑战

报告显示，98%的受访者缺乏所需的洞察。担任不同角色的受访者认为，他们最需要获得以下三个洞察: 39%的受访者表示需要了解应用性能下降的根本原因;38%的受访者表示无法获得有关潜在攻击的信息;37%的受访者表示缺乏对应用问题或事件根本原因的洞察。

数据和分析项目的首要任务是挖掘事件的根本原因，厂商特定工具、云提供商工具和API、使用API等类型的技能短缺都在不断增长。如果企业不仅希望更好地管理当前运营，而且还期望采用所需的更深入数据分析和机器学习(ML)来实现其人工智能愿景，那么就必须解决技能短缺问题。

F5洞察到，如今IT团队面临的挑战反映了企业系统无法跟上快速变革步伐，造成这种复杂性的技术创新无疑还将继续推进下去，如果没有更统一的数据访问以及配套的工具和技能，人工智能辅助将无济于事。

企业可以采用SRE(站点可靠性工程)实践和类云操作，但为了灵活适应不断加速的变化，企业日益需要部署独立于平台与环境的应用安全和交付技术。这些技术适用于现有架构，可在整个应用组合中交付一致的安全性、性能和可视化。

超过四分之三(77%)的企业表示，他们目前正在采用或计划采用SRE实践，使用服务水平目标SLO着手解决预期的故障，以更顺畅地管理事件，系统将发生故障的情况下继续运行、满足相关预期，通过数据提高效率、性能和自动化水平。

属于F5的异类时刻

作为全球应用交付服务与应用安全“双一流”科技厂商，F5在应用交付市场已经领先20余年，并且稳居应用安全市场前两位。在应用大爆炸、安全风险激增的当下，F5的定位是“让更好的数字世界融入生活”，利用F5的力量，为客户提供相应的交付能力、用户体验能力和安全防护能力。

▲F5纵深防御，动态对抗安全架构

为什么叫纵深防御?无论是边缘，纵深内部，还是应用前端，F5可以提供大量的防护能力。比如，WAAP(Bot、API、WAF、DDoS)四位一体安全防护、DNS安全、DDoS边界安全、SSLO安全流量编排、零信任/SSL VPN、APM零信任、SSLO安全流量编排等。

传统的WAF已死，但F5 WAAP四位一体安全防护可以力挽狂澜。通过F5遥测与生俱来数据接口能力分析异常行为，可以监控大量的业务相关的接口，提供面向业务逻辑的安全防护策略，一致的强健WAF引擎，以及一致的安全策略，实现风险监测，精准安全防护。

为了应对IT和OT的融合趋势，F5推出了Distributed Cloud WAAP，这是F5基于分布式云服务平台推出的首个新服务，它将F5解决方案的多项安全能力集成到统一的软件即服务产品中。这项服务简化了应用管理，并提升了安全性，实现了流程自动化，使应用团队能够集中精力于提供改善客户体验的服务。

关于未来，陈亮表示，“F5会积极的拥抱数字化转型，拥抱本地化，提供更多本地化的服务产品、技术、和解决方案。我们也会积极的拥抱开源，把更多、更好、可信的开源技术传递给客户，在数字化转型当中有更多利用开源技术，利用更可信的开源技术帮助企业进行数字化创新、数字化转型。”