F5 利用自适应应用帮助企业实现运营各个方面的数字化,从而更好地服务客户,并通过创新产品和服务提高生产力。 但是这些应用——它们的构建方式、运行所依赖的基础设施以及支持它们的数据——都在不断发展、适应和变化。 结果,它们打开了一系列潜在的新漏洞,扩大了您的攻击面,并提出了您的团队需要帮助解决的新的安全要求。
因此,当 F5 为客户的成功启用自适应应用时,我们必须确保每个地方的应用程序和 API 的安全。 这是 F5应用安全策略的基础(也是本博客的重点)。
到本世纪末,仅移动应用市场就将增长近 175%,从 2022 年的 2067 亿美元增至 5654 亿美元。
随着应用程序的增长和各个业务领域的持续数字化投资,有充足的机会提高效率、发展更大的差异化并加强客户关系。
但也有缺点——构建应用程序是一回事,扩展它以满足成功的数字化业务及其生态系统日益增长的需求则完全是另一回事。
这是一个简单的例子: 还记得汽车保险公司的应用程序允许您简单地查看您的账户详细信息并支付账单吗? 快进到今天,许多系统允许您拍照、提交索赔并管理索赔流程的前端,包括与修理店等第三方的互动。
当您开始考虑这种数字环境的规模和复杂性(使这种环境无缝运行并让客户满意所需的 API 和微服务的数量)时,应用程序安全挑战的规模和复杂性就开始显现。 随着企业实现现代化并加倍加大对新数字技术的投资,安全领导者正在努力解决如何保持安全和合规的问题。
近年来,我们看到应用程序构建、部署和管理方式发生了转变。
商业应用程序曾经是单一的——一个单一的、独特的、受到良好保护的代码库。 如今,应用程序就像拼图,由微服务和容器等模块化块构成。 有些应用程序仅作为按需、短暂的组件存在。
企业计算曾经在数据中心进行,可能由一个云提供商提供。 当今大多数组织在多个云中运行多个应用程序。 现代组织可以利用多个云提供商,将特定的工作负载应用到擅长该功能的特定平台上。
通信协议曾经是可预测且简单的。 IT 和安全团队可以专注于 IP,确保路由、分段和端口都有序且一致。 当代通信发生在 API 级别(跨应用程序甚至在应用程序内),大多数组织的安全策略尚未解决这一现象。
同时,遗留应用程序和基础设施仍然存在。 在许多情况下,它们仍然至关重要,仍然需要精心维护和保护。 事实上,大多数企业目前在混合多云环境中同时运营传统应用程序和现代应用程序,但每个企业都希望他们的安全策略能够得到普遍应用。
当 Apache Log4j/Log4Shell 漏洞在 2021 年冬季假期期间开始成为头条新闻时,许多人认为 IT 和 SecOps 团队将开始疯狂地修补和应对。 演习预计将持续数周,甚至数月(之前已经发生过很多次了),这个故事最终会被淡忘。
然而,很快就发现许多组织正在努力确定实用程序在其技术堆栈中(或其供应商和数据合作伙伴的技术堆栈中)的位置或是否存在。 如今,Log4j 漏洞仍然存在,攻击也不断发生。 事实上,美国 美国国土安全部网络安全审查委员会 (CSRB) 最近得出结论,Apache Log4j 漏洞在未来十年或更长时间内仍可能对组织构成重大风险。
这让人不禁怀疑 Log4j 是否只是一个异常现象、一个百年不遇的事件? 或者这是否预示着将会出现更多类似 Log4j 的事件? 如果是这样,那么组织和供应商应该借鉴哪些经验教训呢?
如果“复杂性是安全的敌人”这句格言仍然正确的话,那么今天这个敌人做得相当好。 随着企业试图在日益分散的环境和平台上保护更多的应用程序和 API,需要更多的工具和界面来跟踪它们,这使得安全专业人员难以跟上。 现在,相同的工作要花费更多的时间、耗费更多的资源,而且出现人为错误的风险也更大。
如果仅仅满足内部安全需求还不够的话,还有来自监管机构、审计和业务合作伙伴的监督等迫在眉睫的需求,这使得数据隐私和合规环境不断变化且日益困难。
F5 的核心安全策略——无处不在的应用程序和 API 安全——旨在帮助数字化组织保护应用程序和 API 免受各种网络威胁和数字欺诈。
我们的重点可以概括为以下三大支柱:
1. 始终如一地保护传统应用程序和现代应用程序……无论它们位于何处。 在云端、数据中心或边缘,您需要始终一致的策略和控制。 F5 提供应用安全结构,打破孤岛并连接传统和现代应用程序架构。
您可以灵活地在任何需要的地方部署应用程序(不受分布式环境通常带来的限制或不一致性的影响),并具有一致的策略和实施。
2. 以数字业务的速度保护现代应用程序及其 API。 当应用程序和 API 在动态、敏捷的 DevOps 环境中开发和部署时,F5 可以帮助确保自动部署、监控和调整适当的控制,无论人员何时想到要“添加”安全性。
您的团队可以实现更快的开发周期、更强的保护和简化的新应用程序和数字化项目的合规性,以及针对云原生工作负载和基础设施的实时威胁检测和补救。
安全团队可以放心,因为知道随着 DevOps 团队以更快的速度优化和升级应用程序,他们的风险评估安全策略将始终有效。
3. 利用人工智能/数据和互联智能不断扩大防御规模。 F5 的可视范围是独一无二的,因为我们可以看到客户与应用程序的交易和交互、应用程序本身的功能以及它们所驻留和通信的基础设施。
F5 将 AI + 人类背景和监督相结合,进行大规模数据收集,有助于在每次发现异常、漏洞和利用时确定最佳行动方案。 您可以扩大防御能力,同时通过减少误报来提高生产力。
实际上,F5 的产品和服务可帮助世界各地的组织防止其应用程序被主动利用。 我们可以缓解机器人、OWASP Top 10 以及许多其他类型的攻击。 我们发现并控制 API。 我们保护底层应用基础设施。 我们还帮助阻止欺诈和恶意接管最终客户账户的行为。 简而言之,我们拥有广泛的用例可以帮助您解决和保护。
在接下来的几周内,我们将进一步沟通和分享如何实现这些用例、我们的客户获得的好处,以及为什么我们认为随着应用驱动的数字世界不断发展,保护您的应用和 API 的安全将成为强制性要求。