白皮书

为什么每个联邦机构都需要企业应用策略以及如何制定该策略

前言

美国联邦机构的 IT 总监如同走钢丝的人，他们必须在提供更多价值的同时减少浪费以及将网络攻击造成的损失降到最低。一方面，IT 领导者必须拥抱最新技术以进一步提高效率、提供更多价值以及节省纳税人的钱。另一方面，他们面临着一个不断变化和扩大的威胁环境，需要大量资源来缓解。简而言之，IT 领导者必须保护和创新每一项举措和决定。为实现这些看似对立的目标，联邦 IT 领导者应为其组织使命量身定制一个企业应用策略。

开创应用时代

在 F5 2019 年应用服务现状报告中，65% 的受访者表示，他们的组织正处于数字化转型中。数字化转型是组织利用技术显著提升性能和用户生产力的一种新方式。

简而言之，应用正在成为业务或使命本身。

为利用这一根本性的转变，各组织正在进行大刀阔斧的改革，追求新的业务和 IT 运营模式，比如：

依靠 SaaS 服务，如基于云的电子邮件和生产力工具
容器化定制应用，以简化管理和降低成本
利用云安全服务快速确定攻击并根据组织规则采用策略。

如今，应用可在许多不同类型的设备上使用。访问应用的用户并不居住在传统的企业环境中，他们在家办公或是流动的。CRM、ERP 以及两者之间的关键业务功能的交付都必须允许人们在传统企业网络之外的地点访问。

F5 Labs 2018 年度应用保护报告显示，公共机构使用的应用平均为 680 个，与使命密切相关的应用占 32%。

除了应用的巨大发展，企业正在将这些应用部署到新的架构和服务中。2019 年应用服务现状研究表明，已将容器作为默认应用工作负载隔离方法的受访组织为 14%，正在采用多云架构的受访组织为 87%。美国行政管理和预算局 (OMB) 本身也在倡导“云智能策略”¹，以迁移到安全、可靠的云网络。

了解迅速扩大的威胁面

政府和商业组织并不是唯一使用技术以减少摩擦、提供新服务和提高价值的机构。网络犯罪分子、武装组织和民族国家威胁行为者也在以惊人的速度提高他们的网络攻击能力。我们保护网络和基础设施的能力有所提高，但同时网络攻击者也正将其目光转到更易受到攻击的目标。

网络攻击者利用易受攻击的目标潜入高价值资产，这些资产可能储存着人员或机密信息。F5 Labs 研究表明，86% 的网络攻击者要么直接针对应用，要么窃取用户身份，他们的攻击方式通常是网络钓鱼。²

攻击者逐渐了解到间接攻击有时会更容易。其中一种方法是通过对不太重要的应用（如物联网设备）进行攻击并提高其访问级别。比如，犯罪分子通过大厅里的水族箱温度计入侵美国一家赌场，并利用其入侵大赌客数据库³。类似事件有 2013 年的 Target 黑客入侵事件，该事件带来了严重后果。犯罪分子利用了 Target 暖通空调供应商的漏洞，最后入侵销售系统并窃取了 4000 万张信用卡信息。⁴

如不加以管理，开源和其他第三方组件和服务也会带来风险。Sonatype 的《2018 年软件供应链现状》报告指出，八分之一的开源组件下载包含一个已知的安全漏洞。⁵包括公共机构在内的组织使用开源的原因是它加快了开发和交付。然而，这些组织往往没有将开源组件纳入安全扫描和审查流程。既然这些组件成为了应用组合的一部分，组织就应该像审查自定义代码一样严格审查这些组件，包括服务器端（如 NPM 包和库）以及客户端的组件。

如今，应用在实现组织目标方面发挥着更重要的作用，而这些应用的发展速度超过了大多数组织扩展其业务的能力。在边界的传统安全模式无法扩展，其预防威胁的效果也很有限。一旦这些易受攻击的目标已遭到破坏，高价值的资产就面临风险。此外，新的架构和部署模式也为传统的安全措施带来挑战。应用所处位置分散，并且使用多云应用服务来提高性能。同时，与应用相关的威胁面正在成倍扩大。

如需在保持性能的同时保障安全性，对应用和易受攻击目标的持续密切监控则非常重要。集成智能云安全可与应用合作，以快速缓解威胁和保护敏感数据。小型数据类型可发送到云端，通过将数据与存储在云端内的数以百万计的工件进行比较以识别潜在威胁。这可以用来确定客户端是 Bot 还是真正的用户。

减少欺诈服务可与应用合作，与恶意攻击者互动，进而获得更多数据类型和预防大规模欺诈。完整的欺诈记录可传送至组织的持续监控系统，以采取行动、防止攻击蔓延、确定遭破坏系统的位置并提供从受感染的机器上消除威胁的措施。分析师可将相关资料提供给运营部门进行进一步分析。

从多云和 SaaS 中获益

联邦机构正转向多云和 SaaS 部署，以增加灵活性和可用性、减少对供应商的捆绑和依赖以及在某些情况下降低成本。这带来了难题：他们如何在不超出预算的同时，在混合云、多云和 SaaS 架构中提供安全、标准化和全方位的应用体验？

各机构可能会在受信任的互联网连接点使用其边界解决方案，以确保与 SaaS 和多云环境的连接。这可能导致性能问题，因为各机构的连接点有限。面向公众的应用需通过这些点保证安全，这就带来了延时。既然流量需要通过“长号”型的通信路径以保证安全，应用的可扩展、高性能优势也随之消失。

边界解决方案也依赖于静态签名。如果发现新的威胁并在安全云提供商中进行剖析，该信息将不会传递到周边系统以防止攻击。签名可能在一天或一周内进行更新。当签名最终在周边安全系统中进行更新时，高价值资产可能已遭到破坏。

标准化应用服务

多云和 SaaS 应用服务是为保护、管理和优化应用而设置的解决方案，标准化多云和 SaaS 应用服务可减少多云架构带来的操作复杂性。

例如，管理在企业应用层面发挥作用的服务（如基于代码的 API 调用和事件驱动系统）比管理特定于平台的服务（如必须使用特定供应商的消息队列服务）更容易，而且拥有前者也更强大。在所有的应用中启用一套功能可降低运营费用。通过对尽可能多的应用服务采用标准平台，组织可利用更多自动化和重用更多代码以实现一致、可预测和可重复的操作流程。

制定企业应用策略

如今，许多生于云端的企业甚至没有 IT 部门，传统的 IT 架构和操作流程明显不能满足应用开发人员和 DevOps 团队的期望。为更快地推出应用，企业往往会绕过传统的网络和安全团队以及相关的安全和操作流程。事实上，保护企业的应用组合不仅与技术有很大关系，与人员和流程也有很大关系。

为管理性能以及这种杂乱无序的多云扩展的风险，企业急于寻找解决方案。无论应用在哪里，解决方案都必须支持一致策略的部署、管理威胁、提供可见性以及允许监控应用的健康和性能。如果应用开发和 DevOps 团队的创新和应变能力受阻，其带来的不合适的解决方案很可能会减少数字化转型的优势。

鉴于不断增加的应用价值和风险，每个联邦机构都需要制定企业应用策略，以更好地建立/获得、部署、管理和保护企业组合中的应用。

第 0 步：使应用策略目标与组织使命相一致

摘要：利用这个机会，制定一个与您所在联邦机构的使命和目标相一致的企业应用策略。

数字化转型的关键在于用高效、数据丰富的应用取代难控制的手动流程。因此，企业应用策略的首要目标应是直接加强、加快和保护企业的数字能力，因为这些能力与实现使命相关。任何与此目标不一致的应用或相关应用服务都应降低优先级。高优先级的应用应得到额外的资源和安全性，而已降低优先级的资产可使用共享资源。

这种协调也意味着要考虑到现状，这包括仔细研究当前的企业数据策略、合规性要求和企业的整体风险状况。

在许多情况下，这些不同来源的限制以及对应用开发团队应变能力的影响可能没有得到很好的理解。企业应用策略应阐明您所在机构愿意在创新、应变能力和风险这些无法同时解决的方面之间取得何种平衡。

第 1 步：制定一个应用清单

摘要：在开始现代化之前，您需要制定一个完整的应用清单。

当涉及到企业应用策略时，大多数团队都没有足够的运气重新开始。在 IT 行业中，几乎每个人都继承了一个技术架构，这个架构是仍在运行的过时系统与数十年来不同的被淘汰系统的结合。与商业企业相比，这个问题在美国联邦政府内可能严重得多。要把这些不协调的技术干净利落地迁移到一个理想的目标状态非常困难。因此，组织必须做更多检测和分析。

虽然这听起来极其简单，但若要充分保护某样东西，您必须知道它的存在并且能准确地监测其健康状况。然而，大多数组织都没有信心可以准确报告其应用组合中的应用数量，更没有信心了解这些应用是否健康和安全。F5 Labs 2018 年度应用保护报告发现，62% 的 IT 安全领导者对了解其组织中的所有应用信心不足或没有信心。

您的应用清单中应包括的内容

应用清单是任何应用策略的最基本要素。这是一份所有应用的目录，无论是内部交付、横向交付（如交付给其他政府实体）还是外部交付（如交付给公众），清单应包括：

对应用或数字服务所执行的功能的描述
应用的来源（如定制开发、成套软件或第三方服务）
应用需要访问或操作的关键数据元素
应用正在与之通信的其他服务
作为应用一部分的开源和其他第三方组件
对应用负责的个人或团队

制定清单的方法

第一次制定应用清单往往是辛苦和耗时的。其中一种清除流氓应用的好方法是把应用清单变成允许列表，不在允许列表上的应用根本无法访问企业资源（如网络）。云访问安全代理 (CASB) 这样的工具对找出您所在组织之外的应用可能非常有用。CASB 位于您的用户和互联网之间，可监控和报告所有应用活动。CASB 不仅可以告诉您您的员工最常使用哪些应用（以及他们访问应用的方式），而且还可以使您深入了解阴影 IT 应用的使用情况。

通过采用 DevOps 架构模型并将应用集成到其中，您可以简化制定清单的流程。当应用的优先级已确定并且该应用被放置在您的多云或 SaaS 环境中时，开发人员可使用开源工具（如 Ansible 和 GitHub）打包部署。接下来，该部署由安全服务、补丁管理和代码等工具管理。清单信息是集中的，可快速提供。因此，组织仍然可以识别存在于云或 SaaS 环境中的此类应用。

FedRAMP 考虑因素

确保应用清单的准确性对您快速确定 FedRAMP 系统边界的能力有直接的积极影响。此外，它还可以让您在认证机构要求时更快速、准确地找到应用基础设施的责任方，甚至是应用的单个组件。

最后，执行 FedRAMP 需要不断确保应用清单的准确性，可能超过一年一次。这是一个持续的过程，包括关注发挥作用的应用和数据存储库有哪些、监测用户需要做的事情以及评估您的开发环境的演变过程。

第 2 步：评估每个应用的网络风险

摘要：在制定安全措施时需检查每个应用的风险水平并将其与所有适用的合规性考虑因素相结合。

网络风险是美国政府内的 IT 领导者越来越关注的重要问题。为应对网络风险，您首先应该评估您的每一个应用的网络风险。

您应检查清单中的应用是否存在以下四种主要的网络风险：

泄露内部敏感信息（如军事机密）
泄露敏感的客户/用户信息（如人事记录、税务记录）
篡改数据或应用
拒绝为数据或应用提供服务

有了网络风险，衡量数字服务的重要性时应按照上述类别考虑网络攻击带给该服务的财务或声誉冲击。不同组织对特定服务设定的潜在损失水平不同，所以每个组织应根据自己制定的使命进行评估。例如，FISMA 要求您确定网络攻击在机构层面带给使命或商业案例的风险。但通常情况下，还有一种可行方法是在应用层面检测风险，以在使命的合规性标准不可避免地提高时做好准备。

合规性考虑因素

组织风险的评估有时包括不遵守适用规则、准则和合同的风险。联邦实体需遵守大量法规和标准，在评估应用和数字服务时应考虑此类因素。建立与应用相关的模型以评估网络风险有助于通过将边界缩小到可管理和适当细化的服务组以简化满足 CDM/ConMon 的 FedRAMP 合规性要求这一流程。

简化 SaaS 合规流程

使用 SaaS 服务可帮助减少组织的合规性问题。SaaS 提供商应对应用风险和合规性问题负责。这有助于组织专注于定制应用。

您可以考虑将云安全服务集成到应用中以保护用户账户、财务数据和个人信息。云安全服务有数以百万计的数据点，应用可利用这些数据点确定客户端为恶意攻击者还是真正的用户。由于数据点不断更新，新的威胁可被识别。规则可实时应用于应用并与现有的企业安全策略合作。

第 3 步：确定需要哪些应用服务

摘要：评估您的组织需要哪些应用服务（在后台运行应用的解决方案）。

应用很少是独立的，因此，除了应用清单，您也应对运行应用的应用服务进行管理和跟踪。应用服务是为应用建造者提供的成套解决方案，可提高应用的速度、可移动性、安全性和可操作性。应用服务为应用的工作负载带来了以下重要的好处：

速度：应用工作负载的性能和快速交付的能力。
可移动性：应用工作负载可在物理或逻辑托管站点之间轻松移动。
安全性：对应用工作负载和相关数据的保护。
可操作性：保证应用工作负载易于部署、易于保持运行以及易于在发生故障时进行故障排除。

如需找到非独立应用服务，有个好方法是检查环境中的 FISMA 或 FedRAMP 系统安全计划的控件部分。通过此方法，您通常可发现注重安全性的应用服务和依赖于它们的其他服务。

虽然每个应用都能从应用服务中受益，但不是每个应用都需要相同的应用服务。

常见的应用服务包括：

负载均衡
DNS 交付
全局服务器负载均衡
Web 应用防火墙
DDoS 预防/保护
应用监控和分析
身份和访问权限管理
应用验证
API 网关
容器入口和出口控制
SSL 解密

平衡成本、安全和性能

所有的应用服务都需要一定成本，包括直接（服务本身）和间接（运营维护）成本。低优先级的应用可使用共享功能以降低成本。共享功能可保障安全并保持性能。而高价值的资产则需要更多的资源，因为它们对组织的生产力非常重要。

值得注意的是，许多应用服务是专门为支持一小部分应用而设计的。例如，只有专为物联网应用服务的应用才需要物联网网关。在传统架构中交付的应用不需要针对容器化环境的应用服务，所以入口控制和服务网格应用服务可能不适用于传统架构。

在某些情况下，您可能需要获得新的应用服务以确保合规性或降低风险。虽然相关应用服务在技术上可能符合合规性标准，但您应始终抵制选择最低基线控制的诱惑并且坚持选择可增强应对网络风险的能力的应用服务。

第 4 步：确定应用类别

摘要：按照类型、优先级和要求对应用进行合理分类。

应用清单完成后，您需要根据导致应用需要不同管理和应用服务方法的特点（如敏感数据的访问权限和面临更多威胁的风险）将您的应用进行合理分类。

分类完成后，企业应用策略应根据应用本身的关键性和企业分类规定适用于不同应用类型的性能、安全性和合规性配置文件。

我们建议从四个基本层级开始。

第 1 级

应用特点
您认为是高价值资产的应用，此类应用同时也是收集和转换敏感数据的数字服务，并且与使命密切相关

所需的应用服务
负载均衡、全局服务器负载均衡、Web 应用防火墙、DDoS 保护/预防、Bot 检测、SSL 加密和解密、用户身份和访问权限管理、应用/服务身份和验证、应用可视性/监控

其他特点
应用服务被放置在靠近应用的位置并集成到应用部署中。使用智能云服务保护敏感数据，从而保护用户账户、信用卡信息和个人信息。

第 2 级

应用特点
与使命密切相关的数字服务，此类服务提供对敏感数据的访问权限

其他特点
使用智能云服务保护敏感数据，以保护用户账户、信用卡信息和个人信息。

第 3 级

应用特点
不收集敏感数据或提供敏感数据访问权限但与使命密切相关的数字服务

所需的应用服务
负载均衡、全局服务器负载均衡、DDoS 保护/预防、应用可见性/监控

其他特点
您可以使用共享服务以帮助降低成本。使用智能云服务保护敏感数据，以保护用户账户、信用卡信息和个人信息。

第 4 级

应用特点
其他数字服务

所需的应用服务
负载均衡、应用可视性/监控

其他特点
您可以使用共享服务以帮助降低成本。

分类的价值

由于应用所面临的威胁因其所处环境而异，这种分类可根据部署环境（如本地和公有云）进一步区分。

以这种方式对您的目标进行优先排序也有助于您将部署的应用预先归入适当的 FISMA/FedRAMP 级别。现在花一些时间为您的使命目标建立一个结构可节省您以后与审计师交谈的时间。

没有组织有足够的资源在可接受的时间范围内完成所有想要的一切。通过对应用进行优先排序，您可以采取分类的方法以决定哪些应用需要应用服务的支持、应现代化或替换哪些应用以及不值得为哪些应用投入精力。对于后者，您应确保将它们在网络中分隔开，避免出现一个无威胁的物联网恒温器导致一整个网络漏洞的情况。这个流程还包括观察新应用，这些应用可释放新的价值流，因此应由内部开发或从第三方采购。

第 5 步：指定应用部署和管理的参数

摘要：指定部署和消耗参数。

IT 策略的基础部分始终是部署和运营管理，而现代企业应用策略增加了一些新的变化（如终端用户体验的重要性）。这包括观察：

哪些部署架构得到支持（如混合云和多云）
每个应用类别的部署模式选择
哪些公共云可作为应用的接入点
在多大程度上可利用公共云原生服务而不是第三方服务

不同的应用在部署和消耗模式方面需求不同。在制定应用策略这一阶段，您应该尽量清楚了解不同的部署方案，每一种方案都可能有不同的消耗模式、成本影响和合规/认证情况。

在选择部署模式时，列出可用的技能和人才以考虑到决策中也是明智的。例如，当您没有足够的内部人才来管理应用并且无法获得合同项下的技能时，选择在 AWS 上部署应用会拖累您并带来风险。

请永远记住，无论您的机构使用 FISMA 还是 FedRAMP ATO/P-ATO 作为完成使命的标准，您的部署和管理机制本身可能都会需要得到其授权。

第 6 步：明确角色和责任

摘要：为企业应用策略的每个要素建立明确的责任线。

除了阐明您的目标和优先事项外，企业应用策略还应包括与角色和责任相关的要素。

您应该了解：

谁有与优化和保护应用组合相关的决策权（如技术选择、应用处置和用户访问权限管理）？
谁有每个应用的特权用户访问权限？
谁负责不同环境中每个应用的部署、操作和维护？
谁负责管理企业应用策略的合规性？
谁负责监测企业应用策略目标的合规情况？他们将向谁报告指标？
谁负责监督供应商（包括开源和第三方组件/服务供应商）的合规性？
谁负责确保所有应用和应用服务都获得核算（随着应用和服务不断变化和被添加/删除）？

这些责任可能落在个人、多部门委员会或甚至整个部门身上。无论如何，这些责任都应在企业应用策略中阐明。事实上，这些责任需要作出的定义可能比合规制度要求您作出的定义更多。

更先进的组织将采用操作流程和自动化，以在开发过程初期（即应用刚建立时）分配这些责任。在一个由数百甚至数千个支持关键功能的应用组成的多云世界中，应用策略和相应的政策应建立明确的责任线。

强化企业应用策略

一旦制定了企业应用策略，为达到其目的，该策略必须强制执行。执行机制应包括建立在流程自动化中的“硬”护栏（如用户访问控制、签到时的代码漏洞扫描）以及“软”措施（如员工培训和提高能力或意识）。

实施强有力的访问控制

您的访问控制策略应支持企业应用策略中定义的操作角色和责任并适用于所有在本地和云端的应用。应特别注意的一点是特权用户访问，特权用户会给应用带来风险，包括因其对应用的管理员权限或根权限而成为复杂的 APT 的目标。

推荐用于特权用户的特别措施包括：

特权用户应总是在单独的组别中。在您的访问控制解决方案中，他们应被定义为“高风险”，这些解决方案需要安全控制，但您可能不会选择对所有用户或所有应用类别层级实施安全控制。
应要求多重远程验证。如果用户使用有效的凭证尝试访问，但未能达到第二个验证要求（在攻击者已从共享凭证的漏洞中收集有效凭证的情况下），或根据最近一次有效登录信息判断登录地点不合理时（如同一用户在美国成功登录，但两小时后试图在东欧登录），该账户应被锁定，直到完成进一步安全审查。
管理员访问权限应只授权给适当的、经过培训的人员，他们需定期进行这种级别的访问以执行其工作。任何因紧急情况或特殊项目而授予的临时访问权限应在一个不同的用户组中，并设置自动使用监控，如果系统管理员忘记删除访问权限，该监控将会提醒他们。对访问权限适当性的审查应定期进行，并由负责应用或授予访问权限的团队独立完成，以避免任何利益冲突。如果一个特权用户长时间不访问某账户，应考虑他们是否真的需要该访问权限。
应正确记录所有特权用户对应用的访问。这包括由用户账户所做的任何更改。

在云端获得这种水平的可见性和有关访问控制的自动化可能不太容易而且成本很高，因为这些功能一般都不是原生的，然而通过第三方许可是可以实现的。此外，考虑到其重要性，这是一项非常值得的投资。

不断培训员工和利益相关者

应用正在稳定发展，媒体中存在大量可用数据，攻击者会利用这些数据以确定哪些应用是攻击目标以及谁可以访问这些应用。因此，安全意识培训从未如此重要。

由于鱼叉式网络钓鱼是网络攻击者的惯用伎俩，组织应注重网络钓鱼培训。F5 Labs 2018 年网络钓鱼和欺诈报告发现，对员工进行 10 次以上的培训可将网络钓鱼成功率从 33% 降低到 13%。然而，很少有组织使用合适的材料进行足够多的安全意识培训。如为完成合规性要求而提供千篇一律的安全意识培训服务，员工可能会不理解他们在信息安全中的作用，也没有对信息安全的个人责任感。如果目标是减少漏洞的风险，经常进行针对您所在组织的个性化培训才是正确的做法。

对攻击者来说没有停机时间，因此员工须时刻保持警惕。所有组织都应有持续的好奇心文化，特别是在联邦机构或任何为联邦政府提供产品和服务的企业。员工应意识到，由于他们对应用和数据的访问权限，他们可能是攻击者的目标。他们还应了解敌对的民族国家是如何利用这种访问权限或数据或网络犯罪分子为了盈利是如何将这种访问权限或数据出售给网络攻击者的。

结论

为确保数字化转型的成功，所有组织都应采用企业应用策略和相应的政策并对员工进行相关培训。由于大量传统、混合和现代应用的共同存在，这一点在联邦机构内尤其关键。如欲提供可靠、安全和得到授权的数字服务，组织必须做到这一点。

应用是任何组织数字化转型的核心。随着软件开发和部署方式的快速变化，应用既是一个组织最大的价值来源，也是最大的漏洞来源。本文概述的应用策略和政策为实现组织的数字化愿景提供了必要的基础。随着应用组合的风险与日俱增，企业必须迅速采取行动以制定其战略和政策。

¹ 美国行政管理和预算局云智能战略

² F5 Labs：从十年来的数据泄露事件中吸取的教训

³ 犯罪分子入侵鱼缸以窃取赌场数据，福布斯

⁴ 因基本的网络分割错误导致目标泄露，ComputerWorld

⁵ 2018 年软件供应链状况，Sonatype