IDC – White Paper
前言
企業數位化轉型過程中具有強大的成長潛力,企業擁抱新興技術來改善資訊精准傳遞,增加了客戶的互動並且提供更優質的客戶體驗。但是,通往數位轉型的道路需要企業使用包含雲,大數據和分析,社交和行動技術的第三方平臺技術來重塑IT基礎架構。更重要的是,採用這些技術作為真正的平臺,而不是孤立的系統和實踐,將促使企業朝著能夠釋放數位創新的高度集成智慧架構發展。其中關鍵點是,公有雲基礎架構的採用正在上升。 IDC預測,使用公有雲服務的企業百分比將從2018年的58%增長到2019年的70%以上。公有雲的敏捷性和可擴展性引領應用程式開發的潮流,完整的雲原生應用程式正在不斷湧現於企業數位轉型的過程中。
然而,事實證明企業安全往往在這條道路上出現了降速。 IT團隊在嘗試將傳統安全模式遷移至雲環境時發現了許多挑戰。雲服務商已將應用程式跨多個雲供應商和本地系統進行部署,這使IT團隊難以優化安全架構並確保對所有應用程式提供一致的安全原則。這些挑戰持續不斷增加,到2022年,將有90%的新企業應用程式將被設計和建構為雲原生。隨著微服務架構設計的日益普及,不間斷集成和持續交付的模式積極部署應用,以及程式碼復用,這類應用程式也將越來越多。
更多的應用程式,新興技術和不斷變化的計算環境要求對安全實踐進行重新調整,以確保成功安全地遷移到雲端或協力廠商平臺。 本文概述了當今針對應用程式的威脅和挑戰,以及防護應用程式和應用程式設計發展介面(API)的新技術和解決方案。
API驅動應用程式持續成長
應用程式開發正在從龐大的整體應用程式轉變為組裝為完整應用程式的較小元件服務。這些應用程式元件具有更高的可伸縮性,可攜性和模組化,實現連續集成和持續交付的部署方式。應用程式設計介面已成為連接這些應用程式和應用程式元件的最合適方法。API標準化並簡化了與應用程式交換資料的過程。採用API的好處包括能夠在應用程式之間提供可預測,預定義和規範的通信。
近年來,API的應用飛速發展,特別是因為API提供了協調從應用程式到其他應用程式和物聯網(IoT)設備的通信的方式。 可程式設計Web API的資料庫現在包含超過22,000個API,並且在2019年與前四年相比增長了30%.IDC預估,到2022年,將有90%的新應用程式將以敏捷方法開發為雲原生應用程式,並基於API的敏捷架構(請參閱IDC FutureScape:《全球IT行業2020年預測》,IDC#US45599219,2019年10月)。攻擊者已將API識別為一種新的威脅媒介,並且越來越多地將攻擊指向API或對易受攻擊的API進行探測。
加密無處不在
加密是促進業務交易的基本技術。長期以來,政府和企業已經意識到其資料的價值,並且需要保護這些資料以免被窺探。但是,隨著資料隱私和安全性在全球範圍內變得越來越重要,已經發生了更廣泛的文化轉變。現在,大多數Web流量都是經過加密的,並且HTTPS流量每年都在繼續增加。
事實證明,加密是一把雙刃劍,因為威脅行為者現在使用加密的流量來掩蓋其活動並逃避防禦。通常,網路流量會通過許多安全設備和偵測點,這些偵測點會窺視資料包的各個級別以檢查威脅。但是,必須先對加密的流量進行解密,然後才能對其進行檢查。取消加密流量的過程需要大量計算,並增加了延遲。從本質上講,加密向IT團隊提出挑戰,要求他們在不影響網路性能的情況下考慮如何以及在何處檢查加密流量。企業可能需要能夠透過多個安全工具傳遞流量,同時又需要避免多次解密流量。
自動化攻擊
通過使用自動化來放大攻擊,可以進一步放大威脅狀況。 尤其是,Bot程式可用於自動進行各種類型和嚴重程度的攻擊,範圍從反競爭(例如資料抓取或庫存阻止//積)到徹底的惡意攻擊(欺詐性購買/轉移或帳戶接管)。
此外,各行業之間的風險狀況將有很大差異。例如,資料抓取可能給一個企業帶來麻煩,但是對於以使用者生成的內容為中心的線上社區而言,它可能會升至生存威脅的水準。在後一種情況下,內容抓取可能會導致智慧財產權損失,最終造成客戶大量流失。在零售行業中,Bot可用從競爭對手那裡收集資料,例如價格和庫存資料。Bots給這些業務帶來了巨大規模的影響,可能使較小的競爭對手不堪重負,Diapers.com代表著一個警告性的故事,即不受控的價格拼殺成為商業殺手。
第三平臺挑戰傳統的應用程式和API安全模型
數位轉型趨勢正在將企業轉變為數位創新工廠。根據IDC FutureScape:《全球IT行業2020年預測》(IDC#US45599219,2019年10月),“到2025年,近三分之二的企業將是每天部署代碼的多產軟體生產商。”採用第三平臺技術(包括大數據,分析和雲等創新加速器)是實現數位轉型的關鍵。但是,新技術的迅速採用為網路犯罪者打開了新的威脅載體,並為安全運營(SecOps)團隊提出了更多的挑戰。傳統安全部署受到阻礙速度或缺乏可見性的傳統工具的阻礙或複雜化。同樣,應用程式開發的增長也伴隨著日誌和資料的爆炸式增長,這給安全運營中心(SOC)團隊帶來了挑戰。這些挑戰將要求安全工具功能取得相應的進步,並需要進行架構調整以滿足數位化轉型的需求。
多雲/混合雲面臨獨特的挑戰
各種規模的企業都在使用雲計算。在IDC的2018年CloudView調查中,受訪者將“業務敏捷性”作為公有雲服務的最重要優勢。但是,同一項調查顯示,“安全性”是部署中遇到的最大障礙。在最終使用者推動IT團隊落後的推動下,雲的部署基本上沒有計劃。結果,IT團隊現在依賴於多個雲平臺以及公有雲和私有雲部署的混合。
對於安全團隊來說,執行策略和將保護擴展到雲環境已證明是具有挑戰性的。企業安全團隊可能會嘗試利用內置的雲服務商提供的控制項,將現有的安全部署擴展到雲,或投資用於特定環境的專用解決方案。無論採用哪種方法,多雲和混合雲部署場景下的管理一致挑戰是將產品集成到通用管理平臺中。
現代應用和API安全要求
隨著網路技術的變化和概念被重新定義,可防禦的邊界概念的瓦解,企業將更多的注意力集中在應用程式和API的保護上。在本節中,IDC確定成功的應用程式和API安全實踐的要求。
應用安全防護一致性,視覺化和可控性
IDC指出,應用程式交付控制器(ADC)已被證明是提供應用程式和API保護的理想平臺。 ADC已與應用通信保持一致,提供諸如負載平衡,加速,伺服器運行狀況監視,網路位址轉譯(NAT)和SSL卸載等功能。通過將WAF,API閘道,Bot保護和ADC結合起來,IT團隊可以實現應用程式性能和可靠性的好處。另外,當考慮需要解密流量以進行安全檢查時,該組合顯然是有利的。 ADC已經執行SSL卸載,通常使用專用硬體或優化的軟體來加速該過程。與單獨執行此功能相比,在此階段通過ADC插入內容檢查可增加規模和最小延遲,並且需要額外的躍點或繁瑣的解密工作。
現代的應用安全性方法必須在用於創建和部署應用程式的多種環境和技術中提供一致且完整的視覺化,保護策略和可控制。這將需要對多雲和混合環境的支援,包括部署模型和技術。但是,真正的全面視覺化和可控制將需要一個具有集中式報告的通用集成平臺,以確保策略,定義和實施的一致性。
最終,應用程式和API保護解決方案應提供靈活的部署選項。目前,每個企業都處在通往雲端的獨特階段,購買者需要支援其業務和安全目標的選項。例如,企業可以強調簡單性和易用性,或者根據容器的部署方式最大化可伸縮性要求。
雲端安全設計
雲提供了諸如性能,可伸縮性和彈性之類的優勢,這些優勢推動了快速採用。但是,越來越多的雲端部署已迫使應用體系結構和技術的變化發展,安全解決方案也必須隨之發展。 WAF供應商必須調整或構建其產品以支援這些特性,以保護和擴展客戶價值。為此,現代WAF必須支援雲原生技術(例如容器)和新興實踐(例如不間斷集成 / 持續部署能力)。例如,服務網格和容器部署模型可以實現檢測高級威脅橫向移動和內部威脅所需的東西向可見性。
現代WAF必須能夠支援依賴多種雲服務以及跨雲,本地資料中心和私有雲的混合環境的企業。特別是,企業可能會在多個或混合雲環境中部署成百上千個具有不同關鍵性和風險承受能力的應用程式。首先,無論應用程式位於何處,企業都無法承受安全盲區。接下來,SecOps必須能夠實施規則更改,並確保在所有雲環境中即時傳播保護。只有提供“單一平面管理”的解決方案與試圖監視威脅並管理多個儀錶板中策略的費力且容易出錯的方法相比,才能實現這一目標。該儀錶板具有不同的功能和獨特的學習介面。
分析與自動化
威脅變得越來越多,難以捉摸和複雜,而攻擊面越來越廣且越來越複雜。靜態WAF規則已不足以抵禦現代威脅,並且行為學習功能對於防止繞過靜態防禦的零日攻擊至關重要。現代化的WAF解決方案必須利用高級安全分析功能來檢測整個攻擊鏈各個階段中的威脅。機器學習是一項至關重要的新技術,在將其提取為一組可行的警報之前,需要正確收集和評估各種信號,資料點和威脅遙測,這是一項至關重要的新技術。例如,可能需要分析才能檢測繞過常見檢測方法,例如IP信譽和JavaScript挑戰。通過使用來自設備感測器的遙測,基於分析的方法可以識別無需人工干預即可運行的設備,從而說明與Bot有關。
最終,現代的應用程式安全性方法必須始終如一地將保護範圍擴展到應用程式所在的位置以及應用現在使用的許多技術。但是,檢測和阻止新出現的威脅的能力將需要不再是靜態的防禦:現代應用安全性必須是動態的和自動化的,並提供檢測零日攻擊和威脅以尋找易受攻擊的API所需的高級安全分析,並採用加密技術來實現。隱藏或使用自動化進行縮放。
選擇Citrix
雲和應用技術以及開發實踐的迅猛發展迫使安全工具也必須適應。安全公司急於使其產品適應新技術的需求以及現代應用程式和API面臨的新威脅。 IDC已將Citrix解決方案確定為可滿足現代化安全性的需求。
Citrix平臺提供全面,靈活的保護
Citrix應用程式安全性產品組合是一個廣泛的安全性平臺,可擴展。 Citrix ADC將傳統的WAF保護與反DDoS,防火牆,反機器人,SSL檢查,API安全性和身份驗證相結合,以提供全面的保護。作為Citrix ADC的可選元件,該產品已集成,但允許靈活採用。企業不需要投資全部功能,而是可以解決緊急的安全問題,然後隨著威脅的發展而適應。部署的靈活性使企業能夠在解決企業對成本的擔憂的同時滿足安全要求。
Citrix支援異構環境,包括雲端
Citrix提供了多種部署選項來支援雲和虛擬化環境,包括虛擬裝置(VPX),AWS VPX,Azure VPX,GCP VPX,裸金屬(BLX)和容器(CPX)。 Citrix入口控制器(CIC)使Kubernetes容器部署和管理具有靈活性。例如,針對Kubernetes集群的統一入口部署允許簡單的入站保護和多租戶,而兩層入口模型允許網路團隊部署和管理ADC和WAF功能,並且開發人員可以分別編寫自己的容器安全性原則。 Citrix還支援服務網格和Istio部署,從而允許網路使用Sidecar模式來定義入站和容器間通信的策略。
Citrix設計用於現代應用程式,包括API
Citrix API Gateway提供了多種部署方式,可以部署為容器,虛擬實例或設備。 API閘道提供了與OpenAPI規範(OAS)/ Swagger和其他DevOps工具的關鍵集成。 Citrix API閘道還可以作為北南閘道和在服務網格部署中部署在Kubernetes環境中。
Citrix Analytics抵禦高級威脅
Citrix WAF利用多種技術來防禦威脅,包括IP信譽,簽名,速率限制和行為學習。此外,Citrix利用其Citrix Analytics System(CAS)平臺中的機器學習功能來防禦資料丟失或資料盜竊以及高級和難以捉摸的安全威脅。需要Citrix高級分析功能來檢測更複雜的威脅,例如加密威脅或可以逃避JavaScript挑戰等。例如,Citrix可以通過監視駐留時間和身份驗證嘗試來識別和阻止進行憑據填充攻擊的Bot。該示例過於簡單:Citrix使用許多因素(包括使用者代理,螢幕解析度,流覽器屬性和其他行為)來識別Bot。
總結
隨著企業爭奪數位主導地位,創新的尖端應用已被證明是數位轉型的關鍵。 結果,應用,平臺和開發實踐被鎖定在快速的技術變革週期中。 威脅也在改變和適應。 現代化的Web應用安全平臺必須通過在所有類型的計算環境中大規模地提供一體化解決方案,一體化的保護態勢來適應這些變化,並由高級分析技術支援以檢測難以捉摸的複雜威脅。
發表迴響