资源白皮书

为什么每个联邦机构都需要企业application战略以及如何构建企业应用战略

介绍

美国联邦机构内的 IT 主管必须走一条平衡线，在提供更多价值的同时减少浪费并最大限度减少网络攻击造成的损失。一方面，IT 领导者必须采用最新技术来提高效率、提供更多价值并节省纳税人的钱。另一方面，他们面临着不断演变和扩大的威胁形势，需要投入大量资源来缓解。简而言之，他们的每一项举措、每一项决策，都必须兼顾创新与保护。为了实现这些看似对立的目标，联邦 IT 领导者应该制定适合其组织使命的企业应用战略。

迎来applications时代

F5 2019年application服务状况报告调查的65%的受访者表示，他们的组织正处于数字化转型之中。数字化转型是企业利用技术实现性能和用户生产力大幅提升的新方式。

简而言之，应用正在成为业务或使命本身。

为了利用这一根本性转变，企业正在进行全面变革，以追求新的业务和 IT 运营模式，例如：

依赖基于云的电子邮件和生产力工具等 SaaS 服务
容器化自定义应用以简化管理并降低成本
使用云安全服务快速确定攻击并根据组织规则应用策略。

应用被交付给多种不同类型的设备。访问应用的用户并不驻留在传统的企业环境中 - 他们是移动的或在家工作的。 CRM、ERP 等业务关键功能以及其间一切内容的交付都必须允许传统企业网络之外的访问。

2018 年 F5 实验室应用保护报告显示，公共部门组织平均使用 680 个应用，其中 32% 被视为任务关键型应用程序。

除了应用数量的大幅增长之外，企业还在将这些应用部署到新的架构和服务中。 2019 年应用服务状况研究表明，14% 的受访组织已将容器作为默认的应用工作负载隔离方法，87% 的受访者正在采用多云架构。美国管理和预算办公室 (OMB) 本身正在倡导“云智能战略”¹迁移到安全有保障的云网络。

了解快速扩大的威胁面

政府和商业组织并不是唯一使用技术来减少摩擦、提供新服务和提高价值的组织。网络犯罪分子、激进组织和民族国家威胁行为者也在以极快的速度创新其网络攻击能力。随着我们在保护网络和基础设施方面做得越来越好，网络攻击者正在将目光转向更易攻击的目标。

软目标用于渗透可能存储人员或机密信息的高价值资产。 F5 实验室的研究表明，86% 的网络攻击者直接针对应用或窃取用户身份（通常是通过网络钓鱼）。²

攻击者逐渐意识到，间接攻击有时更容易。一种方法是关注不太重要的应用，例如物联网设备，并提高其访问权限。例如，犯罪分子通过大厅的水族箱温度计入侵了一家美国赌场，并以此为立足点进入高额赌客数据库。³ 类似地，2013 年毁灭性的 Target 入侵事件始于对 Target HVAC 供应商的攻击，最终导致销售点系统被攻破并导致 4000 万张信用卡丢失。⁴

如果不加以管理，开源和其他第三方组件和服务也可能带来风险。 Sonatype 发布的《2018 年软件供应链状况》指出，八分之一的开源组件下载包含已知的安全漏洞。⁵ 包括公共部门在内的组织都利用开源，因为它可以加快开发和交付速度。然而，这些组织往往未能将开源组件纳入安全扫描和审查流程。这些组件成为应用程序组合的一部分，应该与自定义代码一样受到严格审查。这包括服务器端（例如，NPM 包、库）和客户端的组件。

应用在实现组织目标方面发挥着越来越重要的作用，其增长速度超过了大多数组织扩展其运营的能力。传统的边界安全模式不具备可扩展性，并且在预防威胁方面的有效性有限。一旦软目标被攻陷，高价值资产就会面临风险。新的架构和部署模型进一步挑战了传统的安全措施。应用程序正在分散的位置运行，并使用多云应用服务来提高性能。与此同时，与应用相关的威胁面正在呈指数级扩大。

持续监控应用和软目标对于在保持性能的同时提供安全性非常重要。集成智能云安全可以与应用协同工作，快速缓解威胁并保护敏感数据。可以将小数据类型发送到云端，通过将数据与云中存储的数百万个工件进行比较来识别潜在威胁。这可以用来确定客户端是机器人还是实际用户。

减少欺诈服务可以与应用协作，与恶意行为者进行交互，获取更多数据类型并防止大规模欺诈。完整的欺诈概况可以传送到组织的持续监控系统，以便采取行动，防止攻击蔓延，确定受感染系统的位置，并提供步骤来消除受感染机器的威胁。分析师可以将信息提供给运营部门以供进一步分析。

利用多云和 SaaS 发挥您的优势

好像事情还不够复杂，联邦机构正在转向多云和 SaaS 部署，以利用更大的灵活性，获得更高的可用性，减少供应商锁定，并且在某些情况下利用更低的成本。难题在于：如何在不超出预算分配的情况下，在混合、多云和 SaaS 架构中提供标准化、安全和无缝的应用体验？

机构可以在可信的互联网连接点使用其周边解决方案来确保与 SaaS 和多云环境的连接安全。由于机构的连接点有限，这可能会导致性能问题。面向公众的应用必须通过这些点以确保安全，但这会引入延迟。由于流量需要“拉长”以确保安全，因此可扩展、高性能应用的优势被消除了。

周边解决方案也依赖于静态特征。如果出现了新的威胁并且已经在云提供商内部进行了分析，则不会将信息传递到外围系统以防止攻击。签名更新可能在一天或一周内发生。当签名最终在周边安全系统内开发和更新时，高价值资产可能会受到损害。

标准化应用服务

对多云和 SaaS应用服务进行标准化（为保护、管理和优化您的应用而实施的解决方案）可以降低多云架构带来的操作复杂性。

例如，与特定于平台的服务（例如必须使用特定于供应商的消息队列服务）相比，在企业应用级别运行的服务（例如基于代码的 API 调用和事件驱动系统）更易于管理且功能更强大。在所有应用中启用一组功能可减少运营开销。通过为尽可能多的应用服务采用标准平台，组织可以利用更多的自动化并重用更多的代码来实现一致、可预测和可重复的操作流程。

制定企业application战略

在许多诞生于云端的组织甚至没有 IT 部门的时代，传统的 IT 架构和运营流程明显无法满足应用开发人员和 DevOps 团队的期望。希望更快地推出应用往往会导致绕过传统的网络和安全团队以及相关的安全和运营流程。事实上，保护企业应用组合与人员和流程以及技术同样重要。

为了管理这种多云蔓延的性能，更重要的是风险，组织迫切需要解决方案。无论应用位于何处，解决方案都必须支持部署一致的策略、管理威胁、提供可见性并允许监控应用程序的健康和性能。如果应用开发和 DevOps 团队的创新和敏捷性受到阻碍，那么不合适的解决方案很容易削弱数字化转型带来的任何好处。

鉴于应用的价值和风险不断增加，每个联邦机构都需要制定企业应用战略，解决如何构建/获取、部署、管理和保护企业组合中的应用。

步骤 0：将应用策略目标与组织使命保持一致

概括：利用这个机会创建与联邦机构的使命和目标相一致的企业应用战略。

数字化转型的全部意义在于用高效、数据丰富的应用取代笨重的手动流程。因此，企业应用战略的总体目标应该是直接增强、加速和保护组织与完成使命相关的数字能力。任何与此目标不一致的应用或相关应用服务都应被降低优先级。应为高优先级应用提供额外的资源和安全性，而优先级较低的资产可以使用共享资源。

这种协调还意味着考虑现状，包括仔细审视当前的企业数据策略、合规性要求以及组织的整体风险状况。

在许多情况下，这些不同来源施加的限制以及对应用程序开发团队敏捷性的影响可能尚未得到很好的理解。您的企业应用策略应该明确您的机构愿意在经常相互竞争的创新、敏捷性和风险之间取得的平衡。

步骤 1：建立应用清单

概括：在开始现代化之前，您需要建立完整的应用清单。

当谈到企业应用策略时，大多数团队都没有幸运到可以重新开始。 IT 行业中的几乎每个人都继承了一种技术架构，这种架构是数十年来将各种不同的系统混合在传统系统之上以保持正常运转的结果。与商业部门相比，这个问题在美国联邦政府中尤其严重。将这些不一致的技术干净利落地迁移到期望的目标状态并非易事。因此，必须进行更多的发现和分析。

虽然这听起来可能过于简单，但为了充分保护某些东西，您必须首先知道它的存在，然后能够准确地监控它的健康状况。然而，除了少数例外，大多数组织都无法自信地报告其产品组合中拥有的应用数量，更不用说这些应用是否健康和安全。 F5 Labs 2018 年应用保护报告发现，62% 的 IT 安全领导者对于了解其组织中的所有应用缺乏信心或完全没有信心。

应用清单中应包含哪些内容

应用清单是任何应用策略中最基础的元素。这是所有应用的目录，无论是内部交付、横向交付（例如，向其他政府实体交付）还是外部交付（例如，向公众交付），都包括：

应用或数字服务所执行的功能的描述
应用的来源（例如定制开发、套装软件或第三方服务）
应用需要访问或操作的关键数据元素
应用正在与之通信的其他服务
应用的开源组件和其他第三方组件
负责应用的个人或团体

如何建立库存

首次构建应用清单通常是一项艰苦且耗时的工作。轻松清除恶意应用的一种方法是将应用程序清单列入允许名单；不在允许名单上的应用根本无法访问企业资源（例如网络）。为了追踪组织外部的应用，云访问安全代理（CASB）之类的工具会非常有用。 CASB 位于您的用户和互联网之间，监控和报告所有应用活动。他们不仅可以告诉您员工最常使用哪些应用（以及他们如何访问这些应用程序），还可以深入了解影子 IT应用的使用情况。

通过采用 DevOps 架构模型并将您的应用集成到其中，您可以简化未来的库存流程。当确定应用程序的优先级并将其放置在多云或 SaaS 环境中时，开发人员可以使用开源工具（即 Ansible、GitHub）打包部署。然后，这些工具（包括安全服务、补丁管理和代码）管理部署。库存信息集中并可快速提供。因此，应用可以存在于云或 SaaS 环境中，但仍可被组织识别。

FedRAMP 注意事项

花在确保应用清单准确性上的每一刻都会对您快速定义 FedRAMP 系统边界的能力产生直接的积极影响。当认证机构要求时，它还允许您以更准确的方式快速准确地找到应用程序基础设施的责任方 - 甚至是应用的单个组件。

最后，您的 FedRAMP 工作要求这是一项持续的练习，可能每年不止一次。这是一个持续的过程，包括关注正在运行的应用和数据存储库、监控用户需要做的事情以及评估开发环境的发展情况。

第 2 步：评估每个应用的网络风险

概括：在确定安全措施时，请查看每个应用程序的单独风险级别，并将其与所有适用的合规性考虑相结合。

网络风险已成为美国政府 IT 领导者日益关注的重大问题。为了解决这个问题，您应该首先评估每个应用的网络风险。

您应该检查库存中的每个应用是否存在四种主要类型的网络风险：

泄露敏感内部信息（例如军事机密）
泄露敏感客户/用户信息（例如人事记录、税务历史）
篡改数据或应用
拒绝数据或应用服务

对于网络风险，应通过考虑上述类别的网络攻击对数字服务造成的财务或声誉影响来衡量该服务的重要性。不同的组织对某些服务的潜在损失程度会有所不同，因此每个组织都应根据其定义的使命进行自己的估算。例如，FISMA 要求您确定任务或业务案例的机构级风险。但通常情况下，在应用级别检查风险也是很实用的，以便为任务合规标准不可避免的深化做好准备。

合规性考虑因素

有时组织风险计算中还包括不遵守适用规则、指南和合同的风险。联邦实体有大量的法规和标准，在评估应用和数字服务时应该考虑这些。建立与应用程序相关的网络风险评估模型，可让您将边界缩小到可管理且适当细粒度的服务组，从而有助于简化满足 CDM/ConMon 对 FedRAMP 合规性的要求的过程。

简化 SaaS 合规性

使用 SaaS 服务可以帮助减少组织合规性问题。应用风险和合规性问题是 SaaS 提供商的责任。这有助于组织专注于定制应用。

考虑在应用中集成云安全服务来保护用户帐户、财务数据和个人信息。云安全服务拥有数百万个数据点，应用可以使用这些数据点来确定客户端是恶意的还是实际用户。由于数据点不断更新，因此可以识别新的威胁。规则可以实时应用于应用，并可以与现有的企业安全策略协同工作。

步骤 3：确定需要哪些应用服务

概括：盘点哪些应用服务（在后台运行应用的解决方案）对您的组织来说是必要的。

应用s很少独立存在，因此除了应用清单之外，还应该管理和跟踪运行应用程序的应用服务。应用服务是为应用构建者提供的打包解决方案，可提高应用的速度、移动性、安全性和可操作性。应用服务为应用工作负载带来了几个重要的好处：

速度： 应用工作负载的性能和快速交付的能力。
移动性： 可以轻松地将应用工作负载从一个物理或逻辑托管站点移动到另一个托管站点。
安全： 应用工作负载及其相关数据的保护。
可操作性： 确保应用工作负载易于部署、易于保持运行、并且如果出现故障也易于排除故障。

找到依赖应用服务的一个好方法是检查您环境的 FISMA 或 FedRAMP 系统安全计划的控制部分。这通常会指出以安全为中心的应用服务以及依赖于它们的其他服务的存在。

虽然每个应用都可以从应用服务中受益，但并非每个应用都需要相同的应用服务。

常见的应用服务包括：

负载均衡
DNS 传送
全局服务器负载均衡
Web应用防火墙
DDoS 预防/保护
application监控和分析
身份和访问权限管理
application身份验证
API 网关
集装箱进出控制
SSL 加密

平衡成本、安全性和性能

所有应用服务都会涉及一定程度的成本，包括直接成本（就服务本身而言）和间接成本（就运营维护而言）。低优先级应用可以使用共享功能来帮助降低成本。共享功能可提供安全性并维持性能。高价值资产需要更多的资源，因为它们对组织的生产力非常重要。

值得注意的是，许多应用服务是专门为支持狭窄类别的应用而设计的。例如，只有为服务物联网应用而设计的应用才需要物联网网关。在传统架构中交付的应用不需要针对容器化环境的应用服务，因此入口控制和服务应用服务可能不适用。

在某些情况下，可能需要获取新的应用服务以确保合规性或降低风险。尽管它在技术上可能符合合规标准，但您应该始终抵制选择最低基线控制的诱惑，并坚持选择能够增强您应对网络风险能力的应用服务。

第 4 步：定义应用程序类别

概括：根据应用程序的类型、优先级和要求对应用进行逻辑分组。

应用程序清单完成后，下一步是根据需要不同管理和应用服务方法的特征（例如，访问敏感数据、暴露于更多威胁）将应用分组为逻辑类别。

一旦分类，企业应用策略应该根据应用应用本身的关键性和企业分类，指定应用于不同应用类型的性能、安全性和合规性配置文件。

我们建议从四个基本层级开始。

第 1 级

application特点
您视为高价值资产的applications也是收集和转换敏感数据的关键任务数字服务。

所需应用服务
负载均衡、全局服务器负载均衡、Web应用防火墙、DDoS 保护/预防、机器人检测、SSL 加密和解密、用户身份和访问权限管理、应用/服务身份和身份验证、应用可见性/监控

其他特性
应用服务位于应用附近，并纳入应用部署之中。使用智能云服务保护敏感数据，以保护用户帐户、信用卡信息和个人信息。

第 2 级

application特点
提供访问敏感数据的关键任务数字服务

其他特性
使用智能云服务保护敏感数据，以保护用户帐户、信用卡信息和个人信息。

第 3 级

application特点
不收集或提供敏感数据访问权限的关键任务数字服务

所需应用服务
负载均衡、全局服务器负载均衡、DDoS 保护/预防、应用可见性/监控

其他特性
您可以使用共享服务来帮助降低成本。使用智能云服务保护敏感数据，以保护用户帐户、信用卡信息和个人信息。

第 4 级

application特点
其他数字服务

所需应用服务
负载平衡、应用可见性/监控

其他特性
您可以使用共享服务来帮助降低成本。

分类的价值

由于应用面临的威胁根据其托管环境而有所不同，因此可以进一步扩展此分类，以根据部署环境（例如，本地、公共云）进行区分。

以这种方式确定目标的优先级还可以帮助您轻松地将部署到适当的 FISMA/FedRAMP 级别的应用预先分类。在这里花一点时间制定一个针对你的任务目标的结构，可以让你以后花更少的时间与审计员交谈。

没有任何组织拥有足够的资源在可接受的时间内完成他们想要做的所有事情。通过对应用进行优先排序，您可以采取分类方法，确定哪些应用程序需要通过应用服务进行增强、哪些应用程序应该进行现代化升级或替换，以及哪些应用程序不值得付出努力。对于后一类应用程序，请确保它们在您的网络中被隔离，并避免无害的物联网恒温器导致整个网络崩溃的情况。这一过程还包括寻找可以解锁新价值流的新应用，因此应该内部开发或从第三方获取。

第 5 步：定义应用部署和管理的参数

概括：制定部署和消费参数。

任何 IT 战略的基础部分始终是部署和运营管理，而现代企业应用战略增加了一些新的变化（例如，最终用户体验的重要性）。其中包括查看：

支持哪些部署架构（例如混合云、多云）
每种应用程序类别的部署模型选项
哪些公共云可以作为应用的接入点
与第三方相比，公共云原生服务可以在多大程度上得到利用

不同的应用在部署和消费模式方面有不同的需求。在制定应用策略的这个阶段，您应该努力清楚地了解不同的部署选项，每个选项可能有不同的消费模式、成本影响和合规性/认证配置文件。

在选择部署模型时，盘点可用的技能和人才以供纳入决策考虑也是明智之举。例如，当您没有足够的内部人才来管理它并且缺乏基于合同的技能时，选择在 AWS 上部署可能会减慢您的速度并带来风险。

永远不要忘记，您的部署和管理机制本身可能需要授权，无论是根据 FISMA 还是 FedRAMP ATO/P-ATO，无论您的机构使用哪个作为您的任务的标准。

第 6 步：明确角色和职责

概括：为企业应用策略的每个要素建立明确的责任界限。

除了阐明您的目标和优先事项之外，企业应用策略还应包括有关角色和职责的要素。

你应该知道：

谁拥有优化和保护应用组合（例如技术选择、应用配置、用户访问权限管理）的决策权？
谁拥有每个应用的特权用户访问？
谁负责在不同环境中部署、运行和维护每个应用？
谁负责遵守企业应用政策？
谁将监控企业应用战略目标的遵守情况？他们会向谁报告指标？
谁将监控供应商（包括开源和第三方组件/服务提供商）的合规性？
谁来确保所有应用和应用服务都得到考虑（因为应用和服务不断变化和被添加/删除）？

这些责任可能落在个人、多部门委员会、甚至整个部门身上。无论如何，都应该清楚地说明。事实上，它们可能需要比您的合规制度要求您定义的更多的定义。

更先进的组织将在应用程序启动时，在开发过程的早期采用操作流程和自动化来分配这些责任。在由数百甚至数千个支持关键功能的应用组成的多云世界中，应用策略和相应的政策应该建立明确的责任界限。

执行企业application战略

企业应用策略一旦制定出来，就必须予以执行，才能达到其目的。执行机制应包括内置于流程自动化中的“硬”护栏（例如，用户访问控制、办理登机手续时的代码漏洞扫描）以及“软”措施，例如员工培训和能力或意识建设。

实施强大的访问控制

您的访问控制策略应该支持企业应用策略中定义的操作角色和职责，并扩展到本地和云中的所有应用。应特别注意特权用户访问，因为他们会给应用带来风险，包括由于他们对应用的管理或根权限而成为复杂的 APT 的攻击目标。

建议为特权用户采取的特殊措施包括：

特权用户应始终处于单独的组中。 在您的访问控制解决方案中，它们应该被定义为“高风险”，需要您可能不会选择为所有用户或所有应用分类层实施的安全控制。
应该要求远程身份验证采用多种因素。 如果使用有效凭证尝试访问但未能通过第二次身份验证要求（即攻击者从共享凭证的漏洞中收集了有效凭证的情况），或者从上次有效登录时无法在物理上确定的位置进行访问（例如，在同一用户尝试在东欧登录前两小时在美国成功登录），则应锁定该帐户，直到完成进一步的安全审查。
管理访问权限只应授权给适当的、经过培训的人员，这些人员在执行工作时需要定期使用此级别的访问权限。 任何为紧急情况或特殊项目授予的临时访问权限都应属于不同的用户组，并设置自动使用监控，如果系统管理员忘记删除访问权限，则会提醒他们。应定期审查访问权限的适当性，并独立于负责该应用或授予该应用访问权限的团队完成，以避免任何利益冲突。如果特权用户长时间不访问帐户，则应该质疑他们是否真正需要访问权限。
应该记录所有特权用户访问对应用的访问的正确记录。 这包括用户帐户所做的任何更改。

在云中获得这种级别的可见性和访问控制自动化可能具有挑战性且成本高昂，因为这些功能通常无法在本地使用。然而，通过第三方许可是可能的，并且考虑到其重要性，这是一项值得进行的投资。

持续培训员工和相关利益相关者

随着应用的稳步增长，以及媒体中可用的大量数据，攻击者可以利用这些数据来确定要攻击哪些应用以及谁有权访问这些应用程序，安全意识培训变得前所未有的重要。

由于鱼叉式网络钓鱼是攻击者常用的攻击方式，因此网络钓鱼训练应该成为重点。 2018 年 F5 实验室网络钓鱼和欺诈报告发现，对员工进行 10 次以上的培训可以将网络钓鱼的成功率从 33% 降低到 13%。然而，安全意识培训很少得到充分开展，且使用的材料也不正确。为检查合规性而设计的固定意识培训服务可能会导致员工不了解自己在信息安全中的角色，并且没有个人责任感。如果目标是降低违规风险，那么频繁的培训（针对您的组织进行个性化培训）是正确的做法。

攻击者没有停机时间，因此员工必须始终保持警惕。持续的好奇心文化应该成为所有组织的常态，尤其是联邦领域或任何为联邦政府提供产品和服务的企业。员工应该意识到，他们之所以成为目标，是因为他们可以访问应用和数据。他们还应该意识到这些访问权或数据如何被敌对民族国家使用，或被营利性网络犯罪分子出售（然后被对手购买）。

结论

为了确保数字化转型的成功，所有组织都应采用企业应用战略和相应的政策，并对员工进行培训。在联邦领域，由于传统、混合和现代应用大量混合，这一点尤其重要。您成功提供可靠、安全且授权的数字服务需要它。

应用s是任何组织数字化转型的核心，随着软件开发和部署方式的快速变化，它们既是组织最大的价值来源，也是最大的漏洞来源。这里概述的应用策略和政策组成部分为确保任何组织的数字化愿景提供了基本基础。由于应用组合的风险状况每天都在增加，组织必须迅速采取行动，正式确定其战略和政策。

¹ 管理和预算办公室云智能战略

² F5 实验室：十年数据泄露事件的教训

³ 《福布斯》：犯罪分子入侵鱼缸窃取赌场数据

⁴ 目标泄露事件是由于基本网络分段错误造成的，《ComputerWorld》

⁵ 2018 年软件供应链状况，Sonatype