在过去,网络端口和应用之间的关系接近 1:1。 端口 53? 这就是 DNS。 端口 22? SSH。 端口 23? 远程登录。 端口 80? 这就是网站。
注意,那里是单数。 “该” 网站。 不是“通过 HTTP 交付的大约两百个 Web应用之一”。
这是一个重要的区别,因为它有助于理解应用程序边界从边缘(网络防火墙)转移到更靠近应用程序的某个地方,即数据中心的内部(对于那些仍然致力于安全“城堡”类比的人来说,这是内区)。
我们的最新数据显示,交付的应用中 65% 是基于 HTTP 的。 其余包括典型的嫌疑人: SSH、FTP、SMTP 和 DNS,以及其他可能不太为人所知的协议。 一个典型的企业中有多少个应用? 我们的 2016 年应用交付状况说明了很多问题。 近一半的企业部署了1至200个应用程序。 另一半? 嗯,超过200了。 令人吃惊的是,目前有 10% 的公司正在运行超过 3000 个应用。
其中超过一半的应用都是 HTTP。 它们都穿过数据中心的坚定防御者——网络防火墙上的同一个端口。 网络防火墙很可能无法区分这些应用。 它根本不关心它是否传递 JSON 还是 HTML,是否面向企业还是消费者,是否应该在您在家时通过移动设备访问。
这些对于保护应用程序的安全越来越重要。 是否了解如何确定应用程序有效负载是否受到损害(JSON 不是 HTML 也不是 XML)以及是否应该允许从给定位置或设备进行访问。
这些是应用访问控制服务关心(远不止一点点)的问题。 与其他应用程序亲和服务一样,应用访问控制服务在总体安全策略中越来越重要,因为它们可以区分应用并应用适当的策略。 他们不仅仅查看协议和端口,还深入研究整个对话,评估各种变量(我们称之为上下文),以决定是否应该允许鲍勃从他的客厅访问那个高度敏感的应用程序。
根据我们的研究,组织已经意识到了这一点。 87% 的企业目前已部署了 4 个或更多的身份和访问服务。 毫不奇怪(至少对我来说),它是 2016 年增长最快的应用服务类别,其中 50% 的人计划在未来 12 个月内部署其中一种。 我之所以说这并不奇怪,是因为如今对应用的访问必然包括云,而网络防火墙无法扩展对应用访问的控制。 但身份和访问服务可以。
现在,网络防火墙仍然是组织部署的首要服务,而且我预计这种情况不会很快改变。 他们已经并将继续在每个组织的安全策略中扮演重要角色。 但随着云、移动和物联网不断扩大必须保护的应用领域,我们将继续看到应用访问控制的作用和重要性的增加。 不仅因为网络防火墙不再具有区分通过相同协议(HTTP)交付的应用程序所需的可见性,而且因为当大量应用程序部署在云端时,它们不再是进入这些应用的唯一入口点。
欲了解更多详细信息,请不要忘记获取完整的 2016 年application交付状况报告。