混合 IT 对应用和 API 安全意味着什么
多年来,业界一直将混合 IT 称为多云,以应对其现实情况以及随之而来的挑战。
这并不是说组织没有在多云中运营;他们肯定是这样做的。 但这意味着该术语未能完全体现“云”是一种运营模式,而不仅仅是基础设施即服务的公共提供商所特有的。 事实上,我们的数据年复一年地显示,组织在运营内部部署云的同时,也采用其公共版本。
但即便如此,我们也忽略了混合 IT 的现实,自从云计算出现并席卷商业领域以来,混合 IT 就一直存在于我们眼皮底下。 双关语。 因为即使组织采用了云,大多数组织仍在处理传统的内部部署环境。 因为大多数企业并不是新企业,它们已经运营了20年、30年甚至50年。 这意味着他们已经拥有涵盖每一代主要应用程序架构的成熟产品组合,从整体式架构到微服务、从客户端-服务器到移动端。
对于今年的年度研究,我们具体了解了内部环境,因为我们想了解客户所面临的现实情况。 数据说明了一切:企业过去是、并且现在仍然是混合型的。
这也不仅仅是本报告的研究。 当F5 NGINX 对其开源社区进行调查时,猜猜它发现了什么(以及其他有趣的内容)? 是的,这种混合体将会继续存在。
现在,在不破坏我们即将发布的应用战略状况报告的所有调查结果的情况下,我想说的是,现代应用的趋势很强劲,但有迹象表明,一些组织永远不会“全力以赴”用更现代的版本取代传统应用程序。
因此,企业在未来许多年内仍将保持混合状态。
但这让我们不禁要问,这对安全意味着什么? 特别是对于应用程序和 API 的安全性?
对应用和 API 安全的影响
如果我们假设组织的核心(应用程序组合)和运营环境都是混合的,那么对应用程序和 API 安全的影响将非常深远。
这是因为某些应用环境(例如容器)具有独特的安全需求,传统安全解决方案无法解决。 这也意味着,由于应用程序仍保留在本地,组织将很难找到能够涵盖应用工作负载的核心、云和边缘部署的一致安全解决方案。 且慢,还有更多! 因为这也意味着对现有传统解决方案的需求不会简单地消失,尤其是那些专注于保护应用程序和 API 免受协议滥用和利用的解决方案。
不幸的是,对于组织而言,混合 IT 并不意味着(也不能)混合安全。
混合安全是指将一个供应商提供的应用程序和 API 安全服务与另一个供应商提供的应用程序和 API 安全服务混合在一起。 虽然将安全性转移到应用程序生命周期听起来是一个很好的解决方案,但它往往导致阻力最小的路径——大量不兼容的应用程序和 API 安全服务,使保护所有应用程序和 API 的努力变得复杂和沮丧。
我们已经看到云工具和 API 的复杂性对组织的影响,导致组织无法在所有应用中一致地应用安全性。 对于大多数组织来说,采用混合搭配、单点式的应用程序和 API 安全方法并不奏效,正如过去一年中由于应用程序和 API 的漏洞和利用而导致的违规行为大幅增加所见。
混合 IT 安全方面的现实情况是,采用拼凑式、单点式方法来保护应用程序和 API 安全无法长期发挥作用。 我们需要一种更好的方法,并且需要认识到 IT 和企业现在是、并且在可预见的未来将是混合的。