2016 年application交付状况： 身份和application访问的兴起

在过去，网络端口和应用之间的关系接近 1：1。 端口 53？ 这就是 DNS。 端口 22？ SSH。 端口 23？ 远程登录。 端口 80？ 这就是网站。

注意，那里是单数。 “该” 网站。 不是“通过 HTTP 交付的大约两百个 Web应用之一”。

这是一个重要的区别，因为它有助于理解应用程序边界从边缘（网络防火墙）转移到更靠近应用程序的某个地方，即数据中心的内部（对于那些仍然致力于安全“城堡”类比的人来说，这是内区）。

我们的最新数据显示，交付的应用中 65% 是基于 HTTP 的。 其余包括典型的嫌疑人： SSH、FTP、SMTP 和 DNS，以及其他可能不太为人所知的协议。 一个典型的企业中有多少个应用？ 我们的 2016 年应用交付状况说明了很多问题。 近一半的企业部署了1至200个应用程序。 另一半？ 嗯，超过200了。 令人吃惊的是，目前有 10％ 的公司正在运行超过 3000 个应用。

其中超过一半的应用都是 HTTP。 它们都穿过数据中心的坚定防御者——网络防火墙上的同一个端口。 网络防火墙很可能无法区分这些应用。 它根本不关心它是否传递 JSON 还是 HTML，是否面向企业还是消费者，是否应该在您在家时通过移动设备访问。

这些对于保护应用程序的安全越来越重要。 是否了解如何确定应用程序有效负载是否受到损害（JSON 不是 HTML 也不是 XML）以及是否应该允许从给定位置或设备进行访问。

这些是应用访问控制服务关心（远不止一点点）的问题。 与其他应用程序亲和服务一样，应用访问控制服务在总体安全策略中越来越重要，因为它们可以区分应用并应用适当的策略。 他们不仅仅查看协议和端口，还深入研究整个对话，评估各种变量（我们称之为上下文），以决定是否应该允许鲍勃从他的客厅访问那个高度敏感的应用程序。

根据我们的研究，组织已经意识到了这一点。 87％ 的企业目前已部署了 4 个或更多的身份和访问服务。 毫不奇怪（至少对我来说），它是 2016 年增长最快的应用服务类别，其中 50％ 的人计划在未来 12 个月内部署其中一种。 我之所以说这并不奇怪，是因为如今对应用的访问必然包括云，而网络防火墙无法扩展对应用访问的控制。 但身份和访问服务可以。

现在，网络防火墙仍然是组织部署的首要服务，而且我预计这种情况不会很快改变。 他们已经并将继续在每个组织的安全策略中扮演重要角色。 但随着云、移动和物联网不断扩大必须保护的应用领域，我们将继续看到应用访问控制的作用和重要性的增加。 不仅因为网络防火墙不再具有区分通过相同协议（HTTP）交付的应用程序所需的可见性，而且因为当大量应用程序部署在云端时，它们不再是进入这些应用的唯一入口点。

欲了解更多详细信息，请不要忘记获取完整的 2016 年application交付状况报告。