在過去的幾年里，有兩個行業(yè)熱詞開始受到真正關注。SASE（安全訪問服務邊緣模型）是今年舊金山RSA上的熱門話題，而零信任的出現(xiàn)時間則更早一些。隨著網(wǎng)絡攻擊的不斷增加，企業(yè)不斷向云端遷移，SASE和零信任框架都增強了企業(yè)的應用程序和數(shù)據(jù)的安全性。這兩個框架都側重確保只有經(jīng)過認證和授權的用戶才能訪問云中的資產(chǎn)。反之，也需要明確未經(jīng)授權或者無法識別的用戶的沒有訪問權限。但是，SASE和零信任并不是能夠滿足所有網(wǎng)絡及應用安全需求的萬能靈藥。

　　SASE 和零信任的作用

　　SASE和零信任是那些已遷移到云端的應用程序的理想選擇。這些應用通常僅供組織自身員工、第三方承包商以及合作伙伴的員工使用。組織了解用戶的身份，而且可以識別和認證他們。這些應用程序及其關聯(lián)數(shù)據(jù)的優(yōu)勢是擁有識別用戶身份的能力，從而可以利用SASE和零信任這些新的框架來確保通過識別的用戶才能訪問應用程序。

　　SASE和零信任的疏漏之處

　　盡管SASE和零信任在可識別合法用戶的應用程序中運行良好，但這些框架無法解決兩個特定的領域。首先，有許多應用和工作成果必須對互聯(lián)網(wǎng)上的每個人保持開放和可用。零售業(yè)和房地產(chǎn)是兩個典型的例子。我們中有很多人在進行網(wǎng)購之前會瀏覽和比較網(wǎng)店。如果我們僅僅為了隨處瀏覽就必須登錄認證，會產(chǎn)生怎樣的后果？同樣，大多數(shù)準備買新房的人在決定與中介進行下一步合作之前，都會進行多次匿名的虛擬看房。對于這些開放的應用，認證和授權通常是不可能的。因此，安全性需要通過零信任以外的方法來解決。

　　由于任何應用程序或工作成果中都可能存在漏洞，因此相比于那些已通過身份訪問安全層進行保護的應用和成果，開放且自由訪問的應用和工作成果需要更高級別的保護。尤其重要的是，這些Web應用程序應當在運行時受到保護，因為在運行期間，網(wǎng)絡犯罪分子最容易攻擊這些應用程序。靜態(tài)測試工具可能會遺漏那些只存在于運行過程中各組件交互的漏洞。

　　即使是合法用戶也存在風險

　　除了要求對無法進行身份認證的開放系統(tǒng)進行保護外，即使是經(jīng)過認證的用戶也會帶來風險。對于一般網(wǎng)站來說，網(wǎng)絡犯罪分子可以輕易地在網(wǎng)站上注冊一個賬戶，或者在暗網(wǎng)上購買憑證并使用有效憑證嘗試入侵網(wǎng)站。因此，無論終端用戶是否已經(jīng)被識別、認證或授權，都需要采取適當?shù)陌踩胧﹣肀O(jiān)控Web應用程序自身及其在Web服務器上的活動。

　　這塊真正的問題是，無論你實施了多少安全措施來管控基于身份的訪問，典型的Web應用里始終會有某些部分向外界暴露。并且由于無法保證在開發(fā)和測試周期內(nèi)能夠發(fā)現(xiàn)專有代碼中的所有漏洞，以及第三方及開源代碼中的所有漏洞，因此需要一個縱深防御解決方案，包括先進有效的運行安全方案來保護組織機構在云上的資產(chǎn)安全。

　　僅僅依靠Web應用防火墻是不夠的

　　有時人們會錯誤地認為，擁有外圍安全（如Web應用防火墻WAF），就足以保護Web應用。外圍安全可以保護應用的入站和出站流量，但它并不能監(jiān)控直接發(fā)生在Web應用服務器本身或位于WAF后面的應用服務器之間的活動。一旦WAF有一次攻擊沒有守?。ㄈ鏑apital One或Equifax攻擊），那么WAF就無法防止WAF后面的應用服務器遭受進一步的破壞，也無法發(fā)現(xiàn)網(wǎng)絡罪犯對應用服務器本身造成的破壞。

　　NIST意識到應用安全的必要性

　　應用服務器上的應用安全（也稱為程序運行自我保護或RASP）現(xiàn)在被NIST（美國國家標準與技術研究所）識別為Web應用安全的需求，列為其推薦的應用安全標準框架SP 800-53最新修訂草案的一部分。作為同一應用安全框架更新后的一部分，NIST還增加了對IAST（交互式應用安全測試）的要求。看到NIST在應用安全框架中承認這些應用安全的不足，這是一個重大轉變。

　　隨著像Verizon年度數(shù)據(jù)泄露事件這樣的報告持續(xù)強調(diào)“網(wǎng)絡應用漏洞是數(shù)據(jù)泄露的首要原因”，我們比以往任何時候都更加需要RASP。NIST的新指南強調(diào)，對于組織來說，擁有一個運行時安全解決方案比以往任何時候都更重要，該解決方案可以驗證應用程序的執(zhí)行情況，并在應用程序的實際運行過程中實時發(fā)出攻擊警報。

　　DevSecOps也需要安全框架的關注

　　SASE和零信任都無法完全滿足組織安全需求的另一個領域是DevSecOps，即在應用程序上線前的開發(fā)過程中更早地實施和測試安全的措施。盡快將應用推向市場的巨大壓力，使得負責保護組織基礎設施的安全團隊和應用開發(fā)團隊之間的關系緊張了起來。在開發(fā)及生產(chǎn)過程中，安全性都需要成為框架的重要組成部分。

　　在應用程序投入生產(chǎn)之前發(fā)現(xiàn)并修復安全漏洞，不僅可以幫助防止違規(guī)行為的發(fā)生，還有助于縮短應用程序投入生產(chǎn)后不可避免的更長且更昂貴的修復時間。在這次COVID-19大流行期間，我們已經(jīng)看到許多組織正在更快地將其應用程序轉移到云端，而這種加速帶來的副作用通常是可能忽略了在開發(fā)過程中測試應用程序代碼中漏洞和安全問題。

　　在開發(fā)過程中增加安全重點

　　除了SAST、DAST、IAST掃描的基本要求以及考慮安全性的編碼準則外，組織在開發(fā)過程中還應該記得關注其他幾個具體的安全領域。

　　開發(fā)人員應當全面地看待數(shù)據(jù)安全，即從大局出發(fā)，牢記所有接觸數(shù)據(jù)的組件以及它們之間的交互方式，還有數(shù)據(jù)在應用程序內(nèi)部傳遞的方式是否存在安全風險。

　　組織還需要關注API安全性，因為這是訪問數(shù)據(jù)的另一種方式。

　　對于那些受身份和訪問保護的應用，需要確保安全地引入了有效的授權和認證方法。

　　最重要的提醒，將漏洞和滲透測試納入整個開發(fā)生命周期。

　　安全不僅僅是SASE或零信任

　　即便您已經(jīng)決定采用SASE或零信任作為您的安全框架，也一定要切實認識到這些框架的局限性。組織需要確保在開發(fā)和生產(chǎn)的整個應用程序生命周期中都考慮安全性。

　　為了確保云中最有價值的資產(chǎn)得到保護，無論應用程序是否受到提供零信任框架的身份和訪問管理工具的保護，都需要為不同層級的應用程序及服務器本身實施安全措施。

　　最后，更新后的NIST指南強烈提醒您關注包括RASP和IAST在內(nèi)的應用安全最新技術，并考慮將這些技術添加到您組織的應用安全框架中。