始终在线、全天候运行的应用意味着自互联网出现以来,我们将不断面临前所未有的威胁。 对于开发自己的应用的公司,其程序员需要将软件作为端到端安全软件开发生命周期 (SDLC) 的一部分来制作。 这意味着要集中精力减少软件的攻击面,消除漏洞,并培训开发人员进行更安全的设计和编程。 以下是确保应用程序的可用性、完整性和机密性的方法。
7 分钟 读
在过去的四十年里,软件已经不断发展。 在大型机时代,用户可以访问大型多用户系统上的集中存储程序。 然而,在 20 世纪 90 年代,典型的应用出现在用纸板箱收缩包装的塑料盘上,并在本地安装并且很少更新。
从某些方面来看,我们已经走完了一个完整的循环:应用越来越多地通过网络交付,应用开发人员越来越多地参与运营角色并保护他们自己开发的应用程序。 在这个永远在线的应用即服务的世界中,软件漏洞很容易被利用,简单的 DDoS 攻击就可能中断服务。
对于开发自己的应用的公司,其程序员需要将软件作为端到端安全软件开发生命周期 (SDLC) 的一部分来制作。 这意味着要集中精力减少软件的攻击面,消除漏洞,并培训开发人员进行更安全的设计和编程。
同时,企业还必须将云应用视为需要安全管理的运营技术。 由于云应用始终处于连接状态,因此很容易成为攻击目标,因此及时识别和消除漏洞至关重要。 为了预防威胁,公司应该部署一个漏洞管理流程,以识别和分类漏洞,并可以使用 Web应用防火墙 (WAF) 快速自动修复。 WAF 是一种关键的Web 安全控制,它可以在开发团队修复代码时阻止攻击,从而为公司争取时间。
除了典型的应用程序安全漏洞管理讨论之外,您还应该考虑什么? 起点是设置正确的访问控制。 身份验证、授权和记帐 (AAA) 框架是一个重要指南,可确保您默认需要强身份验证,使用 SSO 和多因素身份验证等功能。 此外,基于包括至少三个角色(例如非特权用户、特权用户和管理员)的强大的基于角色的访问控制(RBAC)授权用户有助于减少意外事件。 而且,如果发生事件,确保您适当地记录事件将有助于您提取解决问题的关键详细信息,例如使用了哪个帐户以及来自哪个系统。
在这个永远在线的世界,软件漏洞很容易被利用。
与 AAA 框架相结合,通过 CIA 安全原则(机密性、完整性和可用性)的视角来看待应用程序安全性,可以突出显示公司应采取的额外步骤来保护其应用并保持服务运行。
随着员工对云应用的依赖越来越大,云服务的可用性对于业务运营变得至关重要。 DDoS 攻击曾经只是一种滋扰,但现在却更容易扰乱商业运营。
建议:
保持数字大门敞开是公司的首要任务。 阻止坏人是第二点。 正如上面的 AAA 中讨论的那样,开发和运营团队需要为访问所有应用和数据创建安全的基础。 他们还需要管理变更控制,以便意外的变更不会导致应用程序以影响数据完整性的方式运行。
建议:
无论是在云端还是在数据中心内,都需要在收集、传输和保存时解决数据机密性问题。 漏洞管理(包括 WAF)是您应该实施的主要控制措施,以防止应用漏洞危害您的应用程序及其中数据的机密性。 如今,没有理由不使用 TLS 技术来加密用户和 Web应用服务器之间的通信。 保存在云端或本地的数据也应完全加密,以防止未授权访问。
建议:
普雷斯顿·霍格 (Preston Hogue) 是高级。 F5 Networks 安全营销总监。 普雷斯顿负责全球安全活动、宣传和思想领导,包括监督 F5 实验室应用威胁情报团队。 普雷斯顿在信息安全领域拥有 20 多年的经验,包括开发、实施和管理复杂的安全程序、设计风险分析和管理以及实施程序以满足监管和合规要求。