《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 模擬設(shè)計(jì) > 業(yè)界動(dòng)態(tài) > SASE和零信任并不是滿足所有安全需求的“萬(wàn)金油”

SASE和零信任并不是滿足所有安全需求的“萬(wàn)金油”

2020-11-17
來(lái)源: 互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: SASE 零信任 云端

  在過(guò)去的幾年里,,有兩個(gè)行業(yè)熱詞開(kāi)始受到真正關(guān)注,。SASE(安全訪問(wèn)服務(wù)邊緣模型)是今年舊金山RSA上的熱門話題,,而零信任的出現(xiàn)時(shí)間則更早一些,。隨著網(wǎng)絡(luò)攻擊的不斷增加,,企業(yè)不斷向云端遷移,,SASE和零信任框架都增強(qiáng)了企業(yè)的應(yīng)用程序和數(shù)據(jù)的安全性,。這兩個(gè)框架都側(cè)重確保只有經(jīng)過(guò)認(rèn)證和授權(quán)的用戶才能訪問(wèn)云中的資產(chǎn),。反之,,也需要明確未經(jīng)授權(quán)或者無(wú)法識(shí)別的用戶的沒(méi)有訪問(wèn)權(quán)限。但是,,SASE和零信任并不是能夠滿足所有網(wǎng)絡(luò)及應(yīng)用安全需求的萬(wàn)能靈藥,。

  SASE 和零信任的作用

  SASE和零信任是那些已遷移到云端的應(yīng)用程序的理想選擇。這些應(yīng)用通常僅供組織自身員工,、第三方承包商以及合作伙伴的員工使用,。組織了解用戶的身份,而且可以識(shí)別和認(rèn)證他們,。這些應(yīng)用程序及其關(guān)聯(lián)數(shù)據(jù)的優(yōu)勢(shì)是擁有識(shí)別用戶身份的能力,,從而可以利用SASE和零信任這些新的框架來(lái)確保通過(guò)識(shí)別的用戶才能訪問(wèn)應(yīng)用程序。

  SASE和零信任的疏漏之處

  盡管SASE和零信任在可識(shí)別合法用戶的應(yīng)用程序中運(yùn)行良好,,但這些框架無(wú)法解決兩個(gè)特定的領(lǐng)域,。首先,有許多應(yīng)用和工作成果必須對(duì)互聯(lián)網(wǎng)上的每個(gè)人保持開(kāi)放和可用,。零售業(yè)和房地產(chǎn)是兩個(gè)典型的例子,。我們中有很多人在進(jìn)行網(wǎng)購(gòu)之前會(huì)瀏覽和比較網(wǎng)店。如果我們僅僅為了隨處瀏覽就必須登錄認(rèn)證,,會(huì)產(chǎn)生怎樣的后果,?同樣,大多數(shù)準(zhǔn)備買新房的人在決定與中介進(jìn)行下一步合作之前,,都會(huì)進(jìn)行多次匿名的虛擬看房,。對(duì)于這些開(kāi)放的應(yīng)用,認(rèn)證和授權(quán)通常是不可能的,。因此,,安全性需要通過(guò)零信任以外的方法來(lái)解決。

  由于任何應(yīng)用程序或工作成果中都可能存在漏洞,,因此相比于那些已通過(guò)身份訪問(wèn)安全層進(jìn)行保護(hù)的應(yīng)用和成果,,開(kāi)放且自由訪問(wèn)的應(yīng)用和工作成果需要更高級(jí)別的保護(hù)。尤其重要的是,,這些Web應(yīng)用程序應(yīng)當(dāng)在運(yùn)行時(shí)受到保護(hù),,因?yàn)樵谶\(yùn)行期間,網(wǎng)絡(luò)犯罪分子最容易攻擊這些應(yīng)用程序。靜態(tài)測(cè)試工具可能會(huì)遺漏那些只存在于運(yùn)行過(guò)程中各組件交互的漏洞,。

  即使是合法用戶也存在風(fēng)險(xiǎn)

  除了要求對(duì)無(wú)法進(jìn)行身份認(rèn)證的開(kāi)放系統(tǒng)進(jìn)行保護(hù)外,,即使是經(jīng)過(guò)認(rèn)證的用戶也會(huì)帶來(lái)風(fēng)險(xiǎn)。對(duì)于一般網(wǎng)站來(lái)說(shuō),,網(wǎng)絡(luò)犯罪分子可以輕易地在網(wǎng)站上注冊(cè)一個(gè)賬戶,,或者在暗網(wǎng)上購(gòu)買憑證并使用有效憑證嘗試入侵網(wǎng)站。因此,,無(wú)論終端用戶是否已經(jīng)被識(shí)別,、認(rèn)證或授權(quán),都需要采取適當(dāng)?shù)陌踩胧﹣?lái)監(jiān)控Web應(yīng)用程序自身及其在Web服務(wù)器上的活動(dòng),。

  這塊真正的問(wèn)題是,,無(wú)論你實(shí)施了多少安全措施來(lái)管控基于身份的訪問(wèn),典型的Web應(yīng)用里始終會(huì)有某些部分向外界暴露,。并且由于無(wú)法保證在開(kāi)發(fā)和測(cè)試周期內(nèi)能夠發(fā)現(xiàn)專有代碼中的所有漏洞,,以及第三方及開(kāi)源代碼中的所有漏洞,因此需要一個(gè)縱深防御解決方案,,包括先進(jìn)有效的運(yùn)行安全方案來(lái)保護(hù)組織機(jī)構(gòu)在云上的資產(chǎn)安全,。

  僅僅依靠Web應(yīng)用防火墻是不夠的

  有時(shí)人們會(huì)錯(cuò)誤地認(rèn)為,擁有外圍安全(如Web應(yīng)用防火墻WAF),,就足以保護(hù)Web應(yīng)用,。外圍安全可以保護(hù)應(yīng)用的入站和出站流量,但它并不能監(jiān)控直接發(fā)生在Web應(yīng)用服務(wù)器本身或位于WAF后面的應(yīng)用服務(wù)器之間的活動(dòng),。一旦WAF有一次攻擊沒(méi)有守?。ㄈ鏑apital One或Equifax攻擊),那么WAF就無(wú)法防止WAF后面的應(yīng)用服務(wù)器遭受進(jìn)一步的破壞,,也無(wú)法發(fā)現(xiàn)網(wǎng)絡(luò)罪犯對(duì)應(yīng)用服務(wù)器本身造成的破壞,。

  NIST意識(shí)到應(yīng)用安全的必要性

  應(yīng)用服務(wù)器上的應(yīng)用安全(也稱為程序運(yùn)行自我保護(hù)或RASP)現(xiàn)在被NIST(美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所)識(shí)別為Web應(yīng)用安全的需求,,列為其推薦的應(yīng)用安全標(biāo)準(zhǔn)框架SP 800-53最新修訂草案的一部分,。作為同一應(yīng)用安全框架更新后的一部分,NIST還增加了對(duì)IAST(交互式應(yīng)用安全測(cè)試)的要求,??吹絅IST在應(yīng)用安全框架中承認(rèn)這些應(yīng)用安全的不足,這是一個(gè)重大轉(zhuǎn)變,。

  隨著像Verizon年度數(shù)據(jù)泄露事件這樣的報(bào)告持續(xù)強(qiáng)調(diào)“網(wǎng)絡(luò)應(yīng)用漏洞是數(shù)據(jù)泄露的首要原因”,,我們比以往任何時(shí)候都更加需要RASP。NIST的新指南強(qiáng)調(diào),,對(duì)于組織來(lái)說(shuō),,擁有一個(gè)運(yùn)行時(shí)安全解決方案比以往任何時(shí)候都更重要,該解決方案可以驗(yàn)證應(yīng)用程序的執(zhí)行情況,并在應(yīng)用程序的實(shí)際運(yùn)行過(guò)程中實(shí)時(shí)發(fā)出攻擊警報(bào),。

  DevSecOps也需要安全框架的關(guān)注

  SASE和零信任都無(wú)法完全滿足組織安全需求的另一個(gè)領(lǐng)域是DevSecOps,,即在應(yīng)用程序上線前的開(kāi)發(fā)過(guò)程中更早地實(shí)施和測(cè)試安全的措施。盡快將應(yīng)用推向市場(chǎng)的巨大壓力,,使得負(fù)責(zé)保護(hù)組織基礎(chǔ)設(shè)施的安全團(tuán)隊(duì)和應(yīng)用開(kāi)發(fā)團(tuán)隊(duì)之間的關(guān)系緊張了起來(lái),。在開(kāi)發(fā)及生產(chǎn)過(guò)程中,安全性都需要成為框架的重要組成部分,。

  在應(yīng)用程序投入生產(chǎn)之前發(fā)現(xiàn)并修復(fù)安全漏洞,,不僅可以幫助防止違規(guī)行為的發(fā)生,還有助于縮短應(yīng)用程序投入生產(chǎn)后不可避免的更長(zhǎng)且更昂貴的修復(fù)時(shí)間,。在這次COVID-19大流行期間,,我們已經(jīng)看到許多組織正在更快地將其應(yīng)用程序轉(zhuǎn)移到云端,而這種加速帶來(lái)的副作用通常是可能忽略了在開(kāi)發(fā)過(guò)程中測(cè)試應(yīng)用程序代碼中漏洞和安全問(wèn)題,。

  在開(kāi)發(fā)過(guò)程中增加安全重點(diǎn)

  除了SAST,、DAST、IAST掃描的基本要求以及考慮安全性的編碼準(zhǔn)則外,,組織在開(kāi)發(fā)過(guò)程中還應(yīng)該記得關(guān)注其他幾個(gè)具體的安全領(lǐng)域,。

  開(kāi)發(fā)人員應(yīng)當(dāng)全面地看待數(shù)據(jù)安全,即從大局出發(fā),,牢記所有接觸數(shù)據(jù)的組件以及它們之間的交互方式,,還有數(shù)據(jù)在應(yīng)用程序內(nèi)部傳遞的方式是否存在安全風(fēng)險(xiǎn)。

  組織還需要關(guān)注API安全性,,因?yàn)檫@是訪問(wèn)數(shù)據(jù)的另一種方式,。

  對(duì)于那些受身份和訪問(wèn)保護(hù)的應(yīng)用,需要確保安全地引入了有效的授權(quán)和認(rèn)證方法,。

  最重要的提醒,,將漏洞和滲透測(cè)試納入整個(gè)開(kāi)發(fā)生命周期。

  安全不僅僅是SASE或零信任

  即便您已經(jīng)決定采用SASE或零信任作為您的安全框架,,也一定要切實(shí)認(rèn)識(shí)到這些框架的局限性,。組織需要確保在開(kāi)發(fā)和生產(chǎn)的整個(gè)應(yīng)用程序生命周期中都考慮安全性。

  為了確保云中最有價(jià)值的資產(chǎn)得到保護(hù),,無(wú)論應(yīng)用程序是否受到提供零信任框架的身份和訪問(wèn)管理工具的保護(hù),,都需要為不同層級(jí)的應(yīng)用程序及服務(wù)器本身實(shí)施安全措施。

  最后,,更新后的NIST指南強(qiáng)烈提醒您關(guān)注包括RASP和IAST在內(nèi)的應(yīng)用安全最新技術(shù),,并考慮將這些技術(shù)添加到您組織的應(yīng)用安全框架中。

 


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。