《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 模擬設(shè)計(jì) > 業(yè)界動(dòng)態(tài) > SASE和零信任并不是滿足所有安全需求的“萬金油”

SASE和零信任并不是滿足所有安全需求的“萬金油”

2020-11-17
來源: 互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: SASE 零信任 云端

  在過去的幾年里,有兩個(gè)行業(yè)熱詞開始受到真正關(guān)注。SASE(安全訪問服務(wù)邊緣模型)是今年舊金山RSA上的熱門話題,而零信任的出現(xiàn)時(shí)間則更早一些。隨著網(wǎng)絡(luò)攻擊的不斷增加,企業(yè)不斷向云端遷移,SASE和零信任框架都增強(qiáng)了企業(yè)的應(yīng)用程序和數(shù)據(jù)的安全性。這兩個(gè)框架都側(cè)重確保只有經(jīng)過認(rèn)證和授權(quán)的用戶才能訪問云中的資產(chǎn)。反之,也需要明確未經(jīng)授權(quán)或者無法識(shí)別的用戶的沒有訪問權(quán)限。但是,SASE和零信任并不是能夠滿足所有網(wǎng)絡(luò)及應(yīng)用安全需求的萬能靈藥。

  SASE 和零信任的作用

  SASE和零信任是那些已遷移到云端的應(yīng)用程序的理想選擇。這些應(yīng)用通常僅供組織自身員工、第三方承包商以及合作伙伴的員工使用。組織了解用戶的身份,而且可以識(shí)別和認(rèn)證他們。這些應(yīng)用程序及其關(guān)聯(lián)數(shù)據(jù)的優(yōu)勢(shì)是擁有識(shí)別用戶身份的能力,從而可以利用SASE和零信任這些新的框架來確保通過識(shí)別的用戶才能訪問應(yīng)用程序。

  SASE和零信任的疏漏之處

  盡管SASE和零信任在可識(shí)別合法用戶的應(yīng)用程序中運(yùn)行良好,但這些框架無法解決兩個(gè)特定的領(lǐng)域。首先,有許多應(yīng)用和工作成果必須對(duì)互聯(lián)網(wǎng)上的每個(gè)人保持開放和可用。零售業(yè)和房地產(chǎn)是兩個(gè)典型的例子。我們中有很多人在進(jìn)行網(wǎng)購之前會(huì)瀏覽和比較網(wǎng)店。如果我們僅僅為了隨處瀏覽就必須登錄認(rèn)證,會(huì)產(chǎn)生怎樣的后果?同樣,大多數(shù)準(zhǔn)備買新房的人在決定與中介進(jìn)行下一步合作之前,都會(huì)進(jìn)行多次匿名的虛擬看房。對(duì)于這些開放的應(yīng)用,認(rèn)證和授權(quán)通常是不可能的。因此,安全性需要通過零信任以外的方法來解決。

  由于任何應(yīng)用程序或工作成果中都可能存在漏洞,因此相比于那些已通過身份訪問安全層進(jìn)行保護(hù)的應(yīng)用和成果,開放且自由訪問的應(yīng)用和工作成果需要更高級(jí)別的保護(hù)。尤其重要的是,這些Web應(yīng)用程序應(yīng)當(dāng)在運(yùn)行時(shí)受到保護(hù),因?yàn)樵谶\(yùn)行期間,網(wǎng)絡(luò)犯罪分子最容易攻擊這些應(yīng)用程序。靜態(tài)測(cè)試工具可能會(huì)遺漏那些只存在于運(yùn)行過程中各組件交互的漏洞。

  即使是合法用戶也存在風(fēng)險(xiǎn)

  除了要求對(duì)無法進(jìn)行身份認(rèn)證的開放系統(tǒng)進(jìn)行保護(hù)外,即使是經(jīng)過認(rèn)證的用戶也會(huì)帶來風(fēng)險(xiǎn)。對(duì)于一般網(wǎng)站來說,網(wǎng)絡(luò)犯罪分子可以輕易地在網(wǎng)站上注冊(cè)一個(gè)賬戶,或者在暗網(wǎng)上購買憑證并使用有效憑證嘗試入侵網(wǎng)站。因此,無論終端用戶是否已經(jīng)被識(shí)別、認(rèn)證或授權(quán),都需要采取適當(dāng)?shù)陌踩胧﹣肀O(jiān)控Web應(yīng)用程序自身及其在Web服務(wù)器上的活動(dòng)。

  這塊真正的問題是,無論你實(shí)施了多少安全措施來管控基于身份的訪問,典型的Web應(yīng)用里始終會(huì)有某些部分向外界暴露。并且由于無法保證在開發(fā)和測(cè)試周期內(nèi)能夠發(fā)現(xiàn)專有代碼中的所有漏洞,以及第三方及開源代碼中的所有漏洞,因此需要一個(gè)縱深防御解決方案,包括先進(jìn)有效的運(yùn)行安全方案來保護(hù)組織機(jī)構(gòu)在云上的資產(chǎn)安全。

  僅僅依靠Web應(yīng)用防火墻是不夠的

  有時(shí)人們會(huì)錯(cuò)誤地認(rèn)為,擁有外圍安全(如Web應(yīng)用防火墻WAF),就足以保護(hù)Web應(yīng)用。外圍安全可以保護(hù)應(yīng)用的入站和出站流量,但它并不能監(jiān)控直接發(fā)生在Web應(yīng)用服務(wù)器本身或位于WAF后面的應(yīng)用服務(wù)器之間的活動(dòng)。一旦WAF有一次攻擊沒有守?。ㄈ鏑apital One或Equifax攻擊),那么WAF就無法防止WAF后面的應(yīng)用服務(wù)器遭受進(jìn)一步的破壞,也無法發(fā)現(xiàn)網(wǎng)絡(luò)罪犯對(duì)應(yīng)用服務(wù)器本身造成的破壞。

  NIST意識(shí)到應(yīng)用安全的必要性

  應(yīng)用服務(wù)器上的應(yīng)用安全(也稱為程序運(yùn)行自我保護(hù)或RASP)現(xiàn)在被NIST(美國國家標(biāo)準(zhǔn)與技術(shù)研究所)識(shí)別為Web應(yīng)用安全的需求,列為其推薦的應(yīng)用安全標(biāo)準(zhǔn)框架SP 800-53最新修訂草案的一部分。作為同一應(yīng)用安全框架更新后的一部分,NIST還增加了對(duì)IAST(交互式應(yīng)用安全測(cè)試)的要求??吹絅IST在應(yīng)用安全框架中承認(rèn)這些應(yīng)用安全的不足,這是一個(gè)重大轉(zhuǎn)變。

  隨著像Verizon年度數(shù)據(jù)泄露事件這樣的報(bào)告持續(xù)強(qiáng)調(diào)“網(wǎng)絡(luò)應(yīng)用漏洞是數(shù)據(jù)泄露的首要原因”,我們比以往任何時(shí)候都更加需要RASP。NIST的新指南強(qiáng)調(diào),對(duì)于組織來說,擁有一個(gè)運(yùn)行時(shí)安全解決方案比以往任何時(shí)候都更重要,該解決方案可以驗(yàn)證應(yīng)用程序的執(zhí)行情況,并在應(yīng)用程序的實(shí)際運(yùn)行過程中實(shí)時(shí)發(fā)出攻擊警報(bào)。

  DevSecOps也需要安全框架的關(guān)注

  SASE和零信任都無法完全滿足組織安全需求的另一個(gè)領(lǐng)域是DevSecOps,即在應(yīng)用程序上線前的開發(fā)過程中更早地實(shí)施和測(cè)試安全的措施。盡快將應(yīng)用推向市場(chǎng)的巨大壓力,使得負(fù)責(zé)保護(hù)組織基礎(chǔ)設(shè)施的安全團(tuán)隊(duì)和應(yīng)用開發(fā)團(tuán)隊(duì)之間的關(guān)系緊張了起來。在開發(fā)及生產(chǎn)過程中,安全性都需要成為框架的重要組成部分。

  在應(yīng)用程序投入生產(chǎn)之前發(fā)現(xiàn)并修復(fù)安全漏洞,不僅可以幫助防止違規(guī)行為的發(fā)生,還有助于縮短應(yīng)用程序投入生產(chǎn)后不可避免的更長且更昂貴的修復(fù)時(shí)間。在這次COVID-19大流行期間,我們已經(jīng)看到許多組織正在更快地將其應(yīng)用程序轉(zhuǎn)移到云端,而這種加速帶來的副作用通常是可能忽略了在開發(fā)過程中測(cè)試應(yīng)用程序代碼中漏洞和安全問題。

  在開發(fā)過程中增加安全重點(diǎn)

  除了SAST、DAST、IAST掃描的基本要求以及考慮安全性的編碼準(zhǔn)則外,組織在開發(fā)過程中還應(yīng)該記得關(guān)注其他幾個(gè)具體的安全領(lǐng)域。

  開發(fā)人員應(yīng)當(dāng)全面地看待數(shù)據(jù)安全,即從大局出發(fā),牢記所有接觸數(shù)據(jù)的組件以及它們之間的交互方式,還有數(shù)據(jù)在應(yīng)用程序內(nèi)部傳遞的方式是否存在安全風(fēng)險(xiǎn)。

  組織還需要關(guān)注API安全性,因?yàn)檫@是訪問數(shù)據(jù)的另一種方式。

  對(duì)于那些受身份和訪問保護(hù)的應(yīng)用,需要確保安全地引入了有效的授權(quán)和認(rèn)證方法。

  最重要的提醒,將漏洞和滲透測(cè)試納入整個(gè)開發(fā)生命周期。

  安全不僅僅是SASE或零信任

  即便您已經(jīng)決定采用SASE或零信任作為您的安全框架,也一定要切實(shí)認(rèn)識(shí)到這些框架的局限性。組織需要確保在開發(fā)和生產(chǎn)的整個(gè)應(yīng)用程序生命周期中都考慮安全性。

  為了確保云中最有價(jià)值的資產(chǎn)得到保護(hù),無論應(yīng)用程序是否受到提供零信任框架的身份和訪問管理工具的保護(hù),都需要為不同層級(jí)的應(yīng)用程序及服務(wù)器本身實(shí)施安全措施。

  最后,更新后的NIST指南強(qiáng)烈提醒您關(guān)注包括RASP和IAST在內(nèi)的應(yīng)用安全最新技術(shù),并考慮將這些技術(shù)添加到您組織的應(yīng)用安全框架中。

 


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。