随着远程办公常态化,企业组织加快了上云步伐。Radware近日发布《Web应用程序和API保护状况报告》,数据显示,受访企业70%的Web应用运行在由公有云、私有云和本地数据中心组成的混合异构环境中,企业应用系统面临五大安全挑战,安全经理需要一种新的思维方式,并具备在混合环境中保护应用程序的关键能力。复杂环境中应用程序安全面临的五个挑战组织面临的挑战是:新兴的攻击媒介、多云部署和敏捷软件开发/DevOps等创造了一个复杂的环境,使企业数据容易受到攻击,其数字体验受到损害。新兴威胁向量:黑客不断改进现有的攻击向量并开发新的攻击向量以绕过现有的保护措施,使应用程序和云环境面临攻击和数据泄露。多云部署:大多数企业组织现在跨本地、混合云和公共云部署应用程序,这扩大了企业的威胁面,使一致安全策略的实施变得复杂,并进一步使企业的云安全任务复杂化。并发症。由于企业组织需要保护多个云平台,每个云平台都有自己的功能、API、管理和报告。更广泛的攻击面:过去,组织可以直接控制应用程序的后端基础设施,只暴露应用程序面向客户的一面。目前,在云环境下,企业应用前端和应用基础设施暴露在外,使得企业的攻击面不断扩大。敏捷软件开发和DevOps文化:云迁移的主要驱动力是企业组织对应用程序开发的敏捷性需求,而敏捷开发和DevOps流程是催化剂,它可以加快应用程序的开发和增强,并使它们成为可能更频繁地被收购,但其安全性往往被搁置一旁。非安全利益相关者的所有权:虽然安全人员通常负责保护云环境,但他们通常无权选择或管理云环境。根据该报告,在92%的企业组织中,有关云平台的决策是由安全人员以外的利益相关者做出的。应用安全六大关键能力为应对复杂环境下的应用安全威胁,企业需要具备以下六大关键能力:整体防御:包括对不可知应用的保护,安全必须跨越所有和云应用基础设施提供360防护等级。自适应和自动化:企业应用程序和混合环境的安全性必须利用基于行为和机器学习的算法来主动管理对应用程序、其底层环境、新安全威胁等的频繁更改。无摩擦:随着企业应用程序开发和部署过程变得更加敏捷,它们的安全性必须与开发过程紧密集成,并且不得干扰业务流程。它需要具有适应性,以便它可以随着应用程序和底层部署平台的变化而变化。这种无缝集成必须依赖于能够识别应用程序更改并自动调整安全策略的自动化算法。一致性:企业组织需要为无处不在的应用程序提供统一、高级的安全性,以实现与应用程序基础架构(无论是私有云还是公共云)相同级别的整体保护。可见性和控制:企业需要对安全和开发仪表板的可见性和控制,这些仪表板必须提供可操作的分析、自动化和自定义控制。广泛的解决方案:企业应提供多种安全部署选项,包括云服务、软件和混合。组织对跨越公共云、私有云和本地数据中心的混合、异构环境的依赖不会很快消失。因此,只有了解混合环境下应用安全面临的挑战和关键安全能力,企业组织才能制定有效的安全策略来适应这些复杂的生态系统,确保应用和混合环境的安全。【本文为专栏作者“安妞”原创文章,转载请通过安妞(微信id:gooann-sectv)获得授权】点此查看作者更多好文
