在過去的幾年里，有兩個行業(yè)熱詞開始受到真正關(guān)注。SASE（安全訪問服務(wù)邊緣模型）是今年舊金山RSA上的熱門話題，而零信任的出現(xiàn)時間則更早一些。隨著網(wǎng)絡(luò)攻擊的不斷增加，企業(yè)不斷向云端遷移，SASE和零信任框架都增強(qiáng)了企業(yè)的應(yīng)用程序和數(shù)據(jù)的安全性。這兩個框架都側(cè)重確保只有經(jīng)過認(rèn)證和授權(quán)的用戶才能訪問云中的資產(chǎn)。反之，也需要明確未經(jīng)授權(quán)或者無法識別的用戶的沒有訪問權(quán)限。但是，SASE和零信任并不是能夠滿足所有網(wǎng)絡(luò)及應(yīng)用安全需求的萬能靈藥。

　　SASE 和零信任的作用

　　SASE和零信任是那些已遷移到云端的應(yīng)用程序的理想選擇。這些應(yīng)用通常僅供組織自身員工、第三方承包商以及合作伙伴的員工使用。組織了解用戶的身份，而且可以識別和認(rèn)證他們。這些應(yīng)用程序及其關(guān)聯(lián)數(shù)據(jù)的優(yōu)勢是擁有識別用戶身份的能力，從而可以利用SASE和零信任這些新的框架來確保通過識別的用戶才能訪問應(yīng)用程序。

　　SASE和零信任的疏漏之處

　　盡管SASE和零信任在可識別合法用戶的應(yīng)用程序中運(yùn)行良好，但這些框架無法解決兩個特定的領(lǐng)域。首先，有許多應(yīng)用和工作成果必須對互聯(lián)網(wǎng)上的每個人保持開放和可用。零售業(yè)和房地產(chǎn)是兩個典型的例子。我們中有很多人在進(jìn)行網(wǎng)購之前會瀏覽和比較網(wǎng)店。如果我們僅僅為了隨處瀏覽就必須登錄認(rèn)證，會產(chǎn)生怎樣的后果？同樣，大多數(shù)準(zhǔn)備買新房的人在決定與中介進(jìn)行下一步合作之前，都會進(jìn)行多次匿名的虛擬看房。對于這些開放的應(yīng)用，認(rèn)證和授權(quán)通常是不可能的。因此，安全性需要通過零信任以外的方法來解決。

　　由于任何應(yīng)用程序或工作成果中都可能存在漏洞，因此相比于那些已通過身份訪問安全層進(jìn)行保護(hù)的應(yīng)用和成果，開放且自由訪問的應(yīng)用和工作成果需要更高級別的保護(hù)。尤其重要的是，這些Web應(yīng)用程序應(yīng)當(dāng)在運(yùn)行時受到保護(hù)，因?yàn)樵谶\(yùn)行期間，網(wǎng)絡(luò)犯罪分子最容易攻擊這些應(yīng)用程序。靜態(tài)測試工具可能會遺漏那些只存在于運(yùn)行過程中各組件交互的漏洞。

　　即使是合法用戶也存在風(fēng)險

　　除了要求對無法進(jìn)行身份認(rèn)證的開放系統(tǒng)進(jìn)行保護(hù)外，即使是經(jīng)過認(rèn)證的用戶也會帶來風(fēng)險。對于一般網(wǎng)站來說，網(wǎng)絡(luò)犯罪分子可以輕易地在網(wǎng)站上注冊一個賬戶，或者在暗網(wǎng)上購買憑證并使用有效憑證嘗試入侵網(wǎng)站。因此，無論終端用戶是否已經(jīng)被識別、認(rèn)證或授權(quán)，都需要采取適當(dāng)?shù)陌踩胧﹣肀O(jiān)控Web應(yīng)用程序自身及其在Web服務(wù)器上的活動。

　　這塊真正的問題是，無論你實(shí)施了多少安全措施來管控基于身份的訪問，典型的Web應(yīng)用里始終會有某些部分向外界暴露。并且由于無法保證在開發(fā)和測試周期內(nèi)能夠發(fā)現(xiàn)專有代碼中的所有漏洞，以及第三方及開源代碼中的所有漏洞，因此需要一個縱深防御解決方案，包括先進(jìn)有效的運(yùn)行安全方案來保護(hù)組織機(jī)構(gòu)在云上的資產(chǎn)安全。

　　僅僅依靠Web應(yīng)用防火墻是不夠的

　　有時人們會錯誤地認(rèn)為，擁有外圍安全（如Web應(yīng)用防火墻WAF），就足以保護(hù)Web應(yīng)用。外圍安全可以保護(hù)應(yīng)用的入站和出站流量，但它并不能監(jiān)控直接發(fā)生在Web應(yīng)用服務(wù)器本身或位于WAF后面的應(yīng)用服務(wù)器之間的活動。一旦WAF有一次攻擊沒有守?。ㄈ鏑apital One或Equifax攻擊），那么WAF就無法防止WAF后面的應(yīng)用服務(wù)器遭受進(jìn)一步的破壞，也無法發(fā)現(xiàn)網(wǎng)絡(luò)罪犯對應(yīng)用服務(wù)器本身造成的破壞。

　　NIST意識到應(yīng)用安全的必要性

　　應(yīng)用服務(wù)器上的應(yīng)用安全（也稱為程序運(yùn)行自我保護(hù)或RASP）現(xiàn)在被NIST（美國國家標(biāo)準(zhǔn)與技術(shù)研究所）識別為Web應(yīng)用安全的需求，列為其推薦的應(yīng)用安全標(biāo)準(zhǔn)框架SP 800-53最新修訂草案的一部分。作為同一應(yīng)用安全框架更新后的一部分，NIST還增加了對IAST（交互式應(yīng)用安全測試）的要求?？吹絅IST在應(yīng)用安全框架中承認(rèn)這些應(yīng)用安全的不足，這是一個重大轉(zhuǎn)變。

　　隨著像Verizon年度數(shù)據(jù)泄露事件這樣的報告持續(xù)強(qiáng)調(diào)“網(wǎng)絡(luò)應(yīng)用漏洞是數(shù)據(jù)泄露的首要原因”，我們比以往任何時候都更加需要RASP。NIST的新指南強(qiáng)調(diào)，對于組織來說，擁有一個運(yùn)行時安全解決方案比以往任何時候都更重要，該解決方案可以驗(yàn)證應(yīng)用程序的執(zhí)行情況，并在應(yīng)用程序的實(shí)際運(yùn)行過程中實(shí)時發(fā)出攻擊警報。

　　DevSecOps也需要安全框架的關(guān)注

　　SASE和零信任都無法完全滿足組織安全需求的另一個領(lǐng)域是DevSecOps，即在應(yīng)用程序上線前的開發(fā)過程中更早地實(shí)施和測試安全的措施。盡快將應(yīng)用推向市場的巨大壓力，使得負(fù)責(zé)保護(hù)組織基礎(chǔ)設(shè)施的安全團(tuán)隊(duì)和應(yīng)用開發(fā)團(tuán)隊(duì)之間的關(guān)系緊張了起來。在開發(fā)及生產(chǎn)過程中，安全性都需要成為框架的重要組成部分。

　　在應(yīng)用程序投入生產(chǎn)之前發(fā)現(xiàn)并修復(fù)安全漏洞，不僅可以幫助防止違規(guī)行為的發(fā)生，還有助于縮短應(yīng)用程序投入生產(chǎn)后不可避免的更長且更昂貴的修復(fù)時間。在這次COVID-19大流行期間，我們已經(jīng)看到許多組織正在更快地將其應(yīng)用程序轉(zhuǎn)移到云端，而這種加速帶來的副作用通常是可能忽略了在開發(fā)過程中測試應(yīng)用程序代碼中漏洞和安全問題。

　　在開發(fā)過程中增加安全重點(diǎn)

　　除了SAST、DAST、IAST掃描的基本要求以及考慮安全性的編碼準(zhǔn)則外，組織在開發(fā)過程中還應(yīng)該記得關(guān)注其他幾個具體的安全領(lǐng)域。

　　開發(fā)人員應(yīng)當(dāng)全面地看待數(shù)據(jù)安全，即從大局出發(fā)，牢記所有接觸數(shù)據(jù)的組件以及它們之間的交互方式，還有數(shù)據(jù)在應(yīng)用程序內(nèi)部傳遞的方式是否存在安全風(fēng)險。

　　組織還需要關(guān)注API安全性，因?yàn)檫@是訪問數(shù)據(jù)的另一種方式。

　　對于那些受身份和訪問保護(hù)的應(yīng)用，需要確保安全地引入了有效的授權(quán)和認(rèn)證方法。

　　最重要的提醒，將漏洞和滲透測試納入整個開發(fā)生命周期。

　　安全不僅僅是SASE或零信任

　　即便您已經(jīng)決定采用SASE或零信任作為您的安全框架，也一定要切實(shí)認(rèn)識到這些框架的局限性。組織需要確保在開發(fā)和生產(chǎn)的整個應(yīng)用程序生命周期中都考慮安全性。

　　為了確保云中最有價值的資產(chǎn)得到保護(hù)，無論應(yīng)用程序是否受到提供零信任框架的身份和訪問管理工具的保護(hù)，都需要為不同層級的應(yīng)用程序及服務(wù)器本身實(shí)施安全措施。

　　最后，更新后的NIST指南強(qiáng)烈提醒您關(guān)注包括RASP和IAST在內(nèi)的應(yīng)用安全最新技術(shù)，并考慮將這些技術(shù)添加到您組織的應(yīng)用安全框架中。