随着远程办公的常态化,企业组织加快了向云端迁移的步伐。Radware最近发布了《Web应用程序和API保护状况报告》,数据显示,受访企业中有70%的Web应用程序运行在由公共云、私有云和本地数据中心构成的混合、异构环境中,企业应用系统面临五大安全挑战,安全管理者需要新的思考方式,并具备保护混合环境应用安全的关键能力。
复杂环境应用安全的五大挑战
企业组织面临的挑战是:新兴攻击媒介、多云部署和敏捷软件开发/DevOps等共同创造了一个复杂环境,使企业数据易受攻击,其数字体验遭到破坏。
- 新兴威胁媒介:黑客不断改进现有的攻击媒介,并开发新的攻击媒介,以绕过现有的保护措施,这会使应用程序和云环境面临攻击和数据泄露的威胁。
- 多云部署:现在,大多数企业组织通过跨本地、混合和公共云部署应用程序,这扩大了企业的威胁面,使一致性安全策略的实施变得更为复杂,并使企业的云安全任务进一步复杂化。因为企业组织需要保护多个云平台,每个云平台都有自己的功能、API、管理和报告。
- 更广泛的攻击面:过去,企业组织可以直接控制应用程序的后端基础设施,只有应用程序面向客户的一面对外公开。当前,在云环境中,企业应用程序前后端和应用程序基础设施都是公开的,这使得企业的攻击面扩大。
- 敏捷软件开发和DevOps文化:云迁移的主要驱动力是企业组织对应用程序开发敏捷性的需求,其催化剂是敏捷开发和DevOps流程,它们可以加快应用程序的开发和增强,并使其获得更频繁的更改,但其安全性通常被放在次要位置。
- 非安全利益相关者的所有权:虽然安全人员的任务通常是保护云环境,但他们通常无权选择或管理云环境。报告显示,在92%的企业组织中,有关云平台的决策由安全人员以外的利益相关者做出。
应用安全的六大关键能力
为了应对复杂环境下的应用安全威胁,企业需要具备以下六项关键能力:
- 整体防御:包括对不可知应用程序的保护,安全性必须跨越所有环境,为企业应用程序表面和云应用程序基础设施提供360度保护。
- 自适应和自动化:企业应用程序和混合环境的安全性,必须利用基于行为和机器学习的算法,主动管理对应用程序、其底层环境、新安全威胁等的频繁更改。
- 无摩擦:随着企业应用程序开发和部署过程变得更加敏捷,其安全性必须与开发过程紧密集成,不得干扰业务流程。它需要具有适应性,以便能够随着应用程序和底层部署平台的变化而变化。这种无缝集成必须依赖于能够识别应用程序更改并自动调整安全策略的自动化算法。
- 一致性:企业组织需要为无处不在的应用程序提供统一、高级的安全性,以实现与应用程序基础设施(无论是私有云,还是公共云)相同级别的整体保护。
- 可见性和控制性:企业需要对安全和开发仪表板可见和控制,这些仪表板必须提供可操作的分析、自动化和自定义控件。
- 广泛的解决方案:企业应提供多种安全部署选项,包括云服务、软件和混合。
在未来一段时间内,企业组织对跨越公共云、私有云和内部部署数据中心的混合、异构环境的依赖不会很快消失。因此,企业组织只有了解了混合环境应用安全面临的挑战和关键安全能力,才能制定有效的安全策略,来适应这些复杂的生态系统,确保应用程序和混合环境的安全。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】