集成了WAF、机器人和API保护等内建安全功能的应用交付平台,为安全提供了关键的多层防御。
译自 Distributed Applications Need a Consistent Security Posture,作者 Neha Mallik 是 NetScaler 的资深产品营销经理,拥有丰富的经验。在她多样化的背景中,Neha 获得了电子与通信工程学位,并最初进入 IT 出版行业。
数字化转型和云采用正在使传统的周界安全策略失效。已经过去了简单地在本地数据中心周围建造一个围墙就足够的日子。
分布式应用环境在网络安全方面需要不同的思维方式。由于大多数网络攻击是针对应用而不是网络的,因此对安全采用多层次的方法对于保护应用至关重要。
随着组织越来越多地采用混合和多云策略以增加灵活性、冗余性和利用个别公共云提供商的独特优势,它们对于保护应用的方法通常变得分散,因为管理和保护不同的环境具有挑战性。
尽管面临着挑战,但确保为所有应用程序和 API 保持一致的安全姿态以抵御攻击是至关重要的。
混合环境的使用 —— 本地数据中心和公共云的混合 —— 对安全团队造成问题,因为传统的网络周界被扩展,潜在攻击面积增大,使得实现全面安全、可见性和控制更加困难。由于每个云提供商都有其独特的安全功能和协议,这个挑战变得更加复杂。其结果是一个碎片化的安全姿态。
在问题上进一步恶化的是,安全团队通常使用一种解决方案来保护其本地工作负载,另一种解决方案用于保护云工作负载。根据 Oracle 和 KPMG 的《云威胁报告》,78% 的组织使用超过 50 种不同的网络安全产品来解决安全问题,形成了一种不同、协调不一致的安全工具拼图。每个工具在孤立运行时可能导致组织在应用程序和 API 安全方面存在重叠或漏洞。
确保一致的安全姿态将帮助您的组织在应用程序交付的任何地方(无论是在本地、在公共云中还是两者都有)实现相同水平的安全性。
选择一个具有内置安全功能的应用程序交付解决方案是确保在分布环境中实现一致安全姿态的关键方式。至少,您的应用程序交付和安全解决方案应提供:
使用来自不同应用程序和 API 安全供应商的多个点产品会带来复杂性,并不必要地增加软件和人员成本。每个安全产品或服务 —— 无论是 Web 应用程序防火墙(WAF)、机器人管理还是 API 保护 —— 都会独立报告威胁,因此您将无法得到问题的全面图景。
这种缺乏全面可见性意味着缺乏上下文。一个综合的解决方案包括应用程序安全;身份验证、授权和审计;机器人管理和 API 安全,全部采用最先进的 TLS 技术进行加密,并通过一个单一的视图进行管理。理想情况下,一个集成的平台具有智能的软件设计,不应该牺牲应用程序性能来充分保护应用程序,而是应该提供其他应用程序优化技术以加速应用程序交付。
随着数据在多个环境中传输,维护其机密性和完整性不仅至关重要,而且可能会受到法规的要求。强大的加密(SSL/TLS)是保障交易安全和防止数据泄漏的最有效方式之一。
传统上,为网站设置强大的安全套接字层/传输层安全性(SSL/TLS)配置需要手动定义要接受和要拒绝的 SSL/TLS 协议,然后相应地设置密码套件。这个过程耗时、容易出错,并且会导致安全姿态不一致,因为您需要在每台服务器上单独执行此操作。SSL 证书还需要每年更新,过期的证书会导致网站或应用程序关闭。安全而统一地管理加密密钥也至关重要。
避免 SSL 证书问题的最佳方式是集中管理一个配置了最佳加密的单一 SSL/TLS 配置文件,并将其应用于所有网络资源,包括面向公众的网站、内部 Web 应用程序、内网站点和托管在组织网络中的其他在线服务。
随着应用程序和 API 跨云和本地数据中心提供,综合的安全方法必须包括一个灵活、可扩展的身份验证平台,能够与各种客户端一起使用。零信任安全模型框架要求进行每个应用程序的身份验证,而不是提供给所有应用的单一网络级身份验证。
选择第三方身份提供商或采用服务提供商路线都无关紧要,但提供一致的身份验证体验很重要。当应用端用户在不同应用之间遇到不同的登录体验时,容易使攻击者试图从毫不知情的员工和客户那里获取凭证。
许多开发人员将身份验证层集成到其应用程序和 API 中,这导致了由于开发人员技能水平不同、缺乏标准化和杂乱的策略执行而产生的安全姿态不一致,同时也显著增加了开发时间和成本。通过单一的上游身份验证平台,交付时间更短,从而降低了成本,安全只需要审计一种身份验证方法,而不是多种。
将安全性纳入软件开发生命周期的每个阶段现在已成为一项基本要求,而非仅仅是一种最佳实践。其理由很清晰:从开发一开始嵌入的安全措施显著降低了漏洞并在应用程序整个生命周期中减轻了风险。不再只是检测漏洞,而是要创建一个安全性成为设计的一部分而非事后考虑的文化。
测试安全缺陷可以意味着在源代码中查找诸如缓冲区溢出和内存条件之类的问题,扫描最终产品或产品的最终用户界面(UI)或两者兼而有之。虽然组织通常使用静态应用程序安全测试(SAST)和软件构成分析(SCA)工具进行白盒测试(访问源代码并测试漏洞),但在已完成的产品、UI 和应用程序的公共接口上执行黑盒测试同样重要。
对于黑盒测试,组织可以使用自己的或第三方的 Web 应用程序安全扫描工具来检测和分析 Web 应用程序中的漏洞。这些扫描工具系统地扫描潜在的弱点,如 SQL 注入、跨站脚本(XSS)和其他安全威胁。如果扫描工具标记出 Web 漏洞,您可以直接从第三方扫描报告中导入一个签名,以虚拟修补漏洞。
或者,您可以选择简单地保留虚拟修补(即签名) —— 一种廉价而有效的解决方案 —— 或在源代码中解决问题。有时源代码不再可用,或者开发人员已经离开或合同已经结束,因此解决问题可能需要很长时间且成本高昂。
另外,如果您的组织不使用第三方 Web 应用程序扫描工具,您可以利用您已经使用的应用程序交付解决方案中(如果可用的话)的扫描功能。
NetScaler 就是这样一种应用程序交付和安全解决方案,通过其 Web 应用程序防火墙(WAF)提供先进的扫描功能。NetScaler WAF 推荐引擎会自动检测您的应用程序托管环境,并在应用程序部署之前为您的技术栈中已知的漏洞建议签名。一旦您的应用程序投入生产,NetScaler WAF 推荐引擎将模拟各种攻击并检查响应数据,以建议您可以在几次点击中审查和部署的签名和定制保护。
在选择安全解决方案时,最佳的方法并不总是能够带来更好的安全性,因为需要管理的内容更多,而且缺乏全面的可见性,这可能导致安全姿态中的漏洞。一个包含内建安全功能(如 WAF、机器人和 API 保护)的应用程序交付平台为实现在分布式应用环境中的全面安全性增加了关键的防御层。
理想情况下,您希望一个平台在任何环境中都能够以相同的方式工作,以便由于配置错误可能使您的应用程序暴露于攻击的情况下,实现运营的一致性。为了更好地了解攻击面,您需要一个具有端到端的可观测性的平台,这种可观测性超越了简单的监控,不仅能够提醒您出现问题,还能够告诉您确切的问题位置 —— 是客户端、服务器还是两者之间的互联网连接 —— 以便您能够更快地解决它。