在過去的幾年里,有兩個行業熱詞開始受到真正關注。SASE(安全訪問服務邊緣模型)是今年舊金山RSA上的熱門話題,而零信任的出現時間則更早一些。隨著網絡攻擊的不斷增加,企業不斷向云端遷移,SASE和零信任框架都增強了企業的應用程序和數據的安全性。這兩個框架都側重確保只有經過認證和授權的用戶才能訪問云中的資產。反之,也需要明確未經授權或者無法識別的用戶的沒有訪問權限。但是,SASE和零信任并不是能夠滿足所有網絡及應用安全需求的萬能靈藥。
SASE 和零信任的作用
SASE和零信任是那些已遷移到云端的應用程序的理想選擇。這些應用通常僅供組織自身員工、第三方承包商以及合作伙伴的員工使用。組織了解用戶的身份,而且可以識別和認證他們。這些應用程序及其關聯數據的優勢是擁有識別用戶身份的能力,從而可以利用SASE和零信任這些新的框架來確保通過識別的用戶才能訪問應用程序。
SASE和零信任的疏漏之處
盡管SASE和零信任在可識別合法用戶的應用程序中運行良好,但這些框架無法解決兩個特定的領域。首先,有許多應用和工作成果必須對互聯網上的每個人保持開放和可用。零售業和房地產是兩個典型的例子。我們中有很多人在進行網購之前會瀏覽和比較網店。如果我們僅僅為了隨處瀏覽就必須登錄認證,會產生怎樣的后果?同樣,大多數準備買新房的人在決定與中介進行下一步合作之前,都會進行多次匿名的虛擬看房。對于這些開放的應用,認證和授權通常是不可能的。因此,安全性需要通過零信任以外的方法來解決。
由于任何應用程序或工作成果中都可能存在漏洞,因此相比于那些已通過身份訪問安全層進行保護的應用和成果,開放且自由訪問的應用和工作成果需要更高級別的保護。尤其重要的是,這些Web應用程序應當在運行時受到保護,因為在運行期間,網絡犯罪分子最容易攻擊這些應用程序。靜態測試工具可能會遺漏那些只存在于運行過程中各組件交互的漏洞。
即使是合法用戶也存在風險
除了要求對無法進行身份認證的開放系統進行保護外,即使是經過認證的用戶也會帶來風險。對于一般網站來說,網絡犯罪分子可以輕易地在網站上注冊一個賬戶,或者在暗網上購買憑證并使用有效憑證嘗試入侵網站。因此,無論終端用戶是否已經被識別、認證或授權,都需要采取適當的安全措施來監控Web應用程序自身及其在Web服務器上的活動。
這塊真正的問題是,無論你實施了多少安全措施來管控基于身份的訪問,典型的Web應用里始終會有某些部分向外界暴露。并且由于無法保證在開發和測試周期內能夠發現專有代碼中的所有漏洞,以及第三方及開源代碼中的所有漏洞,因此需要一個縱深防御解決方案,包括先進有效的運行安全方案來保護組織機構在云上的資產安全。
僅僅依靠Web應用防火墻是不夠的
有時人們會錯誤地認為,擁有外圍安全(如Web應用防火墻WAF),就足以保護Web應用。外圍安全可以保護應用的入站和出站流量,但它并不能監控直接發生在Web應用服務器本身或位于WAF后面的應用服務器之間的活動。一旦WAF有一次攻擊沒有守住(如Capital One或Equifax攻擊),那么WAF就無法防止WAF后面的應用服務器遭受進一步的破壞,也無法發現網絡罪犯對應用服務器本身造成的破壞。
NIST意識到應用安全的必要性
應用服務器上的應用安全(也稱為程序運行自我保護或RASP)現在被NIST(美國國家標準與技術研究所)識別為Web應用安全的需求,列為其推薦的應用安全標準框架SP 800-53最新修訂草案的一部分。作為同一應用安全框架更新后的一部分,NIST還增加了對IAST(交互式應用安全測試)的要求。看到NIST在應用安全框架中承認這些應用安全的不足,這是一個重大轉變。
隨著像Verizon年度數據泄露事件這樣的報告持續強調“網絡應用漏洞是數據泄露的首要原因”,我們比以往任何時候都更加需要RASP。NIST的新指南強調,對于組織來說,擁有一個運行時安全解決方案比以往任何時候都更重要,該解決方案可以驗證應用程序的執行情況,并在應用程序的實際運行過程中實時發出攻擊警報。
DevSecOps也需要安全框架的關注
SASE和零信任都無法完全滿足組織安全需求的另一個領域是DevSecOps,即在應用程序上線前的開發過程中更早地實施和測試安全的措施。盡快將應用推向市場的巨大壓力,使得負責保護組織基礎設施的安全團隊和應用開發團隊之間的關系緊張了起來。在開發及生產過程中,安全性都需要成為框架的重要組成部分。
在應用程序投入生產之前發現并修復安全漏洞,不僅可以幫助防止違規行為的發生,還有助于縮短應用程序投入生產后不可避免的更長且更昂貴的修復時間。在這次COVID-19大流行期間,我們已經看到許多組織正在更快地將其應用程序轉移到云端,而這種加速帶來的副作用通常是可能忽略了在開發過程中測試應用程序代碼中漏洞和安全問題。
在開發過程中增加安全重點
除了SAST、DAST、IAST掃描的基本要求以及考慮安全性的編碼準則外,組織在開發過程中還應該記得關注其他幾個具體的安全領域。
開發人員應當全面地看待數據安全,即從大局出發,牢記所有接觸數據的組件以及它們之間的交互方式,還有數據在應用程序內部傳遞的方式是否存在安全風險。
組織還需要關注API安全性,因為這是訪問數據的另一種方式。
對于那些受身份和訪問保護的應用,需要確保安全地引入了有效的授權和認證方法。
最重要的提醒,將漏洞和滲透測試納入整個開發生命周期。
安全不僅僅是SASE或零信任
即便您已經決定采用SASE或零信任作為您的安全框架,也一定要切實認識到這些框架的局限性。組織需要確保在開發和生產的整個應用程序生命周期中都考慮安全性。
為了確保云中最有價值的資產得到保護,無論應用程序是否受到提供零信任框架的身份和訪問管理工具的保護,都需要為不同層級的應用程序及服務器本身實施安全措施。
最后,更新后的NIST指南強烈提醒您關注包括RASP和IAST在內的應用安全最新技術,并考慮將這些技術添加到您組織的應用安全框架中。