本文来自微信公众号“安全419”。
如今,每个企业都依赖定制软件应用程序来管理内部流程、与客户互动或分析数据,他们成为了软件的创造者和分销商,从而有效地提供更具竞争力的服务。
应用程序安全是网络安全的一个重要组成部分,专注于确保软件应用程序的安全性、完整性和健壮性。然而,要真正了解、掌握应用程序的安全,定义“应用程序”这个术语就变得至关重要。
云计算的普及重新定义了应用程序
在基础设施即服务(IaaS)和平台即服务(PaaS)产品普及之前,应用程序主要是企业内部解决方案,依赖于物理硬件和内部软件。云计算的大规模应用改变了以上格局,迎来了一个虚拟化、可扩展和按需服务的新时代。
IaaS和PaaS产品通过抽象物理基础设施和中间件层,进而重新定义了应用程序。IaaS提供虚拟化硬件(计算、存储和网络资源),让软件应用程序在这些硬件上运行。PaaS则为开发、测试和管理应用程序提供了运行时环境。
这一转变使得企业能够从复杂的基础架构维护工作中抽身出来,专注于创造开发应用程序,我们的关注点便从支持应用的物理资源和架构,转移到应用所提供的功能和价值上。
公有云基础架构则带来了另一个重大转变,其重新定义了应用程序和基础架构之间的界限。在云中,应用程序及其底层基础架构之间的区别越来越小,相互联系也越来越紧密。应用程序越来越多地由小型分布式组件构成,每个组件都有自己的基础设施,这进一步模糊了它们之间的界限。
这极大地影响了应用程序的设计、部署和管理。一个应用程序可以由许多微服务构建,各自运行在独立的容器或无服务器平台上,这便是时下流行的“云原生应用程序”,其专门为云计算架构而设计,利用了云原生环境可伸缩性、弹性和敏捷性的优势。
应用程序的模糊界限带来新的安全挑战
简而言之,应用程序是一种为用户执行特定任务或功能而设计的软件。从技术角度来看,应用程序可以是单行脚本,或微服务架构中的一套服务。它封装了业务逻辑、用户界面和数据访问,在操作系统的指导下工作,给用户提供友好的交互。然而,在商业世界中,应用程序不仅仅是软件,它成为一种工具,可以提高流程效率,增强用户体验,促进数据收集,并为决策提供见解和策略支撑。
现代应用程序的这种多面性也带来了更严峻的安全挑战。随着应用程序从整体架构发展到分散的微服务,以及集成各种接口和技术,其攻击面呈指数级增长,每个组件、接口和代码行都存在潜在的弱点威胁。基于云服务的动态性,通常跨越不同的提供商和地区,使得安全形势更加复杂。这不再仅仅是保护独立软件的安全,而是确保与应用程序交互的整个生态系统的安全。
此外,持续集成和持续交付(CI/CD)加快了应用程序更新和部署的速度,虽然这种敏捷开发模式有助于提升企业的服务效率,但也意味着安全协议需要同样敏捷。传统的安全措施通常依赖于定期检查和审计,难以适应这种交付的快节奏。因此,保护应用程序需要一种主动的、全面的和适应性强的策略,让安全性嵌入到应用程序生命周期的每个阶段,从设计到部署再到退役。
云基础设施和软件开发模式的这些变化发展,主要在三个维度上重新定义了应用程序的边界:水平方向、垂直方向以及代码和控制台之间的重叠。这些变化带来了如下新的安全挑战。
1
云原生时代的横向挑战
在云原生时代,应用程序通常是多个服务的组合,而不是独立的整体结构。每个服务代表应用程序拼图中的一块,与其他服务相互作用形成完整的应用程序。这种互连环境带来了几个安全挑战:
●所有权:由于服务有不同的来源,确定责任变得很困难。
●授权:多服务结构需要复杂的访问控制。
●兼容性:确保所有服务无风险地安全交互。
●依赖性:每个服务可能依赖于其他服务,从而产生多个故障点。
2
从IaaS到PaaS再到应用的垂直整合
IaaS提供虚拟化硬件层,而PaaS提供应用运行时环境,如今,应用程序不仅仅位于IaaS或PaaS解决方案之上,更是与它们深度集成交织在一起。这种垂直集成模糊了应用程序及其支持层之间的界限,安全专业人员必须确保从基础架构到应用程序的整个体系都是安全的。
3
代码与控制台协同超越传统软件
随着IaC的兴起,应用程序的定义已经超越了传统的软件代码。IaC确保基础设施供应与应用程序本身一样具有延展性,两者协同发展。基础设施成为应用程序的一部分,应用程序的定义包含了它的传统代码和运行它的基础设施,代码和控制台的这种合并使得安全措施必须考虑软件及其操作环境。
保证应用程序安全需要新的思维和策略
为了适应云和云原生这一新环境,以及其中的各种组件服务,建议网络安全人员:
●采用整体方法,将应用程序视为全面的系统,而不仅仅是代码。
●确保主动的安全措施,包括代码和基础设施。
●不断发展和适应,使安全实践与最新的应用程序和基础设施开发保持一致。
措施与方法上需要考虑针对云原生环境以及云原生应用程序的安全技术和解决方案,如应用运行时安全保护(RASP),采用安全的数据拦截技术和数据分析技术,像疫苗一样注入应用程序中,深度检查应用在运行时的各种活动和行为,能实时检测和阻断安全攻击,使应用程序具备自我保护能力。
以及结合了云工作负载保护平台(CWPP)和云安全态势管理(CSPM)功能的云原生应用程序保护平台(CNAPP),其支持自动化应用安全风险管理与威胁检测,并在应用开发与运行全生命周期实施精细化的安全策略与保护,可降低云原生应用环境风险,有效提高应用的安全性与可信性。
