在过去的几年里,有两个行业热词开始受到真正关注。SASE(安全访问服务边缘模型)是今年旧金山RSA上的热门话题,而零信任的出现时间则更早一些。随着网络攻击的不断增加,企业不断向云端迁移,SASE和零信任框架都增强了企业的应用程序和数据的安全性。这两个框架都侧重确保只有经过认证和授权的用户才能访问云中的资产。反之,也需要明确未经授权或者无法识别的用户的没有访问权限。但是,SASE和零信任并不是能够满足所有网络及应用安全需求的万能灵药。
SASE 和零信任的作用
SASE和零信任是那些已迁移到云端的应用程序的理想选择。这些应用通常仅供组织自身员工、第三方承包商以及合作伙伴的员工使用。组织了解用户的身份,而且可以识别和认证他们。这些应用程序及其关联数据的优势是拥有识别用户身份的能力,从而可以利用SASE和零信任这些新的框架来确保通过识别的用户才能访问应用程序。
SASE和零信任的疏漏之处
尽管SASE和零信任在可识别合法用户的应用程序中运行良好,但这些框架无法解决两个特定的领域。首先,有许多应用和工作成果必须对互联网上的每个人保持开放和可用。零售业和房地产是两个典型的例子。我们中有很多人在进行网购之前会浏览和比较网店。如果我们仅仅为了随处浏览就必须登录认证,会产生怎样的后果?同样,大多数准备买新房的人在决定与中介进行下一步合作之前,都会进行多次匿名的虚拟看房。对于这些开放的应用,认证和授权通常是不可能的。因此,安全性需要通过零信任以外的方法来解决。
由于任何应用程序或工作成果中都可能存在漏洞,因此相比于那些已通过身份访问安全层进行保护的应用和成果,开放且自由访问的应用和工作成果需要更高级别的保护。尤其重要的是,这些Web应用程序应当在运行时受到保护,因为在运行期间,网络犯罪分子最容易攻击这些应用程序。静态测试工具可能会遗漏那些只存在于运行过程中各组件交互的漏洞。
即使是合法用户也存在风险
除了要求对无法进行身份认证的开放系统进行保护外,即使是经过认证的用户也会带来风险。对于一般网站来说,网络犯罪分子可以轻易地在网站上注册一个账户,或者在暗网上购买凭证并使用有效凭证尝试入侵网站。因此,无论终端用户是否已经被识别、认证或授权,都需要采取适当的安全措施来监控Web应用程序自身及其在Web服务器上的活动。
这块真正的问题是,无论你实施了多少安全措施来管控基于身份的访问,典型的Web应用里始终会有某些部分向外界暴露。并且由于无法保证在开发和测试周期内能够发现专有代码中的所有漏洞,以及第三方及开源代码中的所有漏洞,因此需要一个纵深防御解决方案,包括先进有效的运行安全方案来保护组织机构在云上的资产安全。
仅仅依靠Web应用防火墙是不够的
有时人们会错误地认为,拥有外围安全(如Web应用防火墙WAF),就足以保护Web应用。外围安全可以保护应用的入站和出站流量,但它并不能监控直接发生在Web应用服务器本身或位于WAF后面的应用服务器之间的活动。一旦WAF有一次攻击没有守住(如Capital One或Equifax攻击),那么WAF就无法防止WAF后面的应用服务器遭受进一步的破坏,也无法发现网络罪犯对应用服务器本身造成的破坏。
NIST意识到应用安全的必要性
应用服务器上的应用安全(也称为程序运行自我保护或RASP)现在被NIST(美国国家标准与技术研究所)识别为Web应用安全的需求,列为其推荐的应用安全标准框架SP 800-53最新修订草案的一部分。作为同一应用安全框架更新后的一部分,NIST还增加了对IAST(交互式应用安全测试)的要求。看到NIST在应用安全框架中承认这些应用安全的不足,这是一个重大转变。
随着像Verizon年度数据泄露事件这样的报告持续强调“网络应用漏洞是数据泄露的首要原因”,我们比以往任何时候都更加需要RASP。NIST的新指南强调,对于组织来说,拥有一个运行时安全解决方案比以往任何时候都更重要,该解决方案可以验证应用程序的执行情况,并在应用程序的实际运行过程中实时发出攻击警报。
DevSecOps也需要安全框架的关注
SASE和零信任都无法完全满足组织安全需求的另一个领域是DevSecOps,即在应用程序上线前的开发过程中更早地实施和测试安全的措施。尽快将应用推向市场的巨大压力,使得负责保护组织基础设施的安全团队和应用开发团队之间的关系紧张了起来。在开发及生产过程中,安全性都需要成为框架的重要组成部分。
在应用程序投入生产之前发现并修复安全漏洞,不仅可以帮助防止违规行为的发生,还有助于缩短应用程序投入生产后不可避免的更长且更昂贵的修复时间。在这次COVID-19大流行期间,我们已经看到许多组织正在更快地将其应用程序转移到云端,而这种加速带来的副作用通常是可能忽略了在开发过程中测试应用程序代码中漏洞和安全问题。
在开发过程中增加安全重点
除了SAST、DAST、IAST扫描的基本要求以及考虑安全性的编码准则外,组织在开发过程中还应该记得关注其他几个具体的安全领域。
- 开发人员应当全面地看待数据安全,即从大局出发,牢记所有接触数据的组件以及它们之间的交互方式,还有数据在应用程序内部传递的方式是否存在安全风险。
- 组织还需要关注API安全性,因为这是访问数据的另一种方式。
- 对于那些受身份和访问保护的应用,需要确保安全地引入了有效的授权和认证方法。
- 最重要的提醒,将漏洞和渗透测试纳入整个开发生命周期。
安全不仅仅是SASE或零信任
即便您已经决定采用SASE或零信任作为您的安全框架,也一定要切实认识到这些框架的局限性。组织需要确保在开发和生产的整个应用程序生命周期中都考虑安全性。
为了确保云中最有价值的资产得到保护,无论应用程序是否受到提供零信任框架的身份和访问管理工具的保护,都需要为不同层级的应用程序及服务器本身实施安全措施。
最后,更新后的NIST指南强烈提醒您关注包括RASP和IAST在内的应用安全最新技术,并考虑将这些技术添加到您组织的应用安全框架中。
原文链接:
https://www.cyberdefensemagazine.com/the-limitations-of-sase-and-zero-trust/