0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

零信任体系化能力建设(4):应用安全与开发部署

jf_73420541 来源:jf_73420541 作者:jf_73420541 2023-08-24 16:33 次阅读

前言:应用和工作负载是企业资产的重要组成部分,也是用户访问企业数据的主要手段和攻击者关注的首要目标,因此,强化对IT栈内软件部分的安全控制是企业推进零信任成熟度的必由之路。
通常,零信任网络访问(ZTNA)通过身份认证和访问控制机制来保护业务应用和资源,然而这些措施并不能为应用提供更全面的保护,例如SQL(或代码)注入、远程指令执行、容器权限逃逸等。本文从零信任安全能力的体系化建设入手,主要讨论应用和工作负载在访问授权、威胁保护、开发部署和安全测试等方面的问题。
关键字:零信任;应用安全;工作负载安全;开发部署;安全测试

零信任应用安全

应用和工作负载(简称应用)是指运行在私有化、移动设备和云等环境中的系统、计算机程序和服务。在企业的业务环境中,数目庞大的应用为各部门提供了复杂多样的业务功能,它们依赖着不同来源的组件,其中隐藏着不同类型的安全漏洞,并在不同的访问场景中扮演着不同的角色。

然而,基于边界的安全模型假定了内网的默认安全,也抑制了对应用开发的安全性需求。教育机构忽视了对应用安全设计或编码的教学培训,开发人员普遍缺乏生产安全产品的技能,安全措施经常在应用开发完成(甚至安全事件发生)后,以追加模式附着于应用程序。在应用生命周期的后期(运行或维护阶段),运维人员甚至可能疏忽对安全漏洞的扫描和修复。

在应用领域建设零信任安全能力,通常要面对比终端和网络等领域更为复杂的局面,应用的访问方式(例如,通信机制、共享机制,以及认证方法等)、行为特征、编码安全、开发部署、交付更新等问题均需进行梳理分析,并进行合理的改进优化。

另外,在大多数时候,尽管应用安全是从OSI参考架构应用层的视角去进行观察和分析的,但安全能力的构建实际上需要从更低的层次开始,对应用层的保护需要借助或依赖网络层和传输层的安全能力,不同层次安全能力的关联、集成和协作是减少暴露面、提高可见性、推进零信任成熟度的关键。

应用安全的关键能力

在零信任安全框架中,应用安全能力既要确保应用和工作负载间的安全访问授权,阻止横向移动和非法访问,也要保障应用层的协议和内容安全,识别并阻断恶意内容和威胁,同时还要保证应用的全生命周期安全(包括设计、开发、测试、部署和运维),以适应不断变化的威胁环境和安全需求。

1

访问与授权

通过为应用和工作负载建立统一数字身份,可以在“身份”领域建设应用相关的访问与授权能力。在向不同应用集成访问授权能力时,需要特别关注其工作流的特异性,并考虑如下问题:●如何在应用层面实施和管理访问授权,授权的粒度如何划分?●应用访问授权会带来什么样的威胁?组织如何减轻对工作负载的威胁?●应用程序如何被访问?是否可通过互联网访问?●如何生成分析报告,以协助改善保护措施和安全策略?

零信任希望为用户提供与位置无关的安全访问。在应用支柱的最佳成熟度级别,无论用户身在各处(内网、互联网等),组织都应该向用户提供基于零信任的应用访问通道,减少访问延迟,并提供一致的、良好的用户体验。

在向互联网开放应用访问时,通常也需要利用传输层和网络层的安全机制(例如,mTLS、IPSec等),实现在公共互联网上的安全连接,确保数据在通信路径的完整性和机密性。

2

威胁与保护

任何应用程序都可能存在漏洞。鉴于应用对企业的重要性,攻击者也始终将应用作为首要的攻击目标。作为零信任策略的一部分,持续监控并保护应用安全至关重要。

为防止潜在的漏洞被攻击者利用,需要在应用层面实施多层次的保护机制。例如,通过WAF技术来检测、识别和阻止对常见漏洞(例如,OWASP Top 10)的利用和Web攻击,包括跨站脚本(XSS)、SQL注入、跨站请求伪造(CSRF)等。

另外,影子IT和API安全也是不容忽视的安全风险,未经批准的云应用程序和服务,或API非法调用都可能导致数据泄露和安全风险。CASB通过监控和管理云应用程序的使用情况,识别和控制未经授权的应用程序访问,减少影子IT带来的风险,还可以通过提供API保护功能,监控和管理云应用程序的API访问,确保API的安全性和合规性。

3

开发与部署

随着组织构建越来越多的云原生应用程序,并采用大量开源组件来加速开发流程,如何将安全性更轻松地融入到开发和部署过程中,也是一个日益复杂的问题。

通常,开发团队使用特定的DevOps工具和流程,形成了独特的开发孤岛。而且,开发人员的首要目标与基本的安全优先事项并不一致,他们更专注于快速交付业务部门所需的应用功能,而管理或安全团队则希望进一步降低业务风险,并提供合规性支持,这些目标分歧使应用程序安全性进一步复杂化。

在软件开发生命周期(SDLC)中引入安全考虑,通过安全左移,可以避免开发团队在开发后期被迫进行安全修复所面临的低效问题。

wKgZomTnFbaAFCrVAAuWk27mrNQ156.png

图1 适用于各个SDLC阶段的DevSecOps工具

在图1中,Gartner概述了SDLC的七个阶段,并给出了适用于每个阶段的DevSecOps工具。软件工程领导者应与安全和风险团队以及基础设施和运营方面的同行合作,在SDLC的每个阶段集成工具。零信任应用安全的重点是“确保应用程序可用且安全,并且了解它们正在做什么”。开发团队需要找到一种与DevOps有效合作的方法,以实现效率和安全的平衡,降低实现零信任目标的难度。

4

安全与测试

尽管大多数组织并不具备安全编码的培训能力,但仍然可以通过提供丰富的安全工具,帮助开发者发现并处理应用中的安全缺陷。引入并充分利用这些安全测试工具,能够逐渐缓解因开发者安全编码经验不足,所带来的应用安全问题。

应用程序安全测试涉及对漏洞和弱点的测试,常见方法包括静/动态软件测试、代码审查、渗透测试、漏洞扫描、配置审计和安全评估等。

● 静态应用安全测试(SAST):通过分析源代码或应用程序的二进制文件,检测潜在的安全漏洞、软件缺陷;●动态应用安全测试(DAST):通过模拟攻击者的行为,对正在运行的应用程序进行测试,以发现实时的漏洞和弱点;●代码审查:对应用程序代码进行系统、详细的审查和分析,以发现潜在安全问题,确保符合最佳实践和规范;●渗透测试:模拟真实的攻击行为,主动寻找应用程序的弱点,测试其安全性;漏洞扫描:使用自动化工具扫描应用程序,寻找已知的漏洞和常见的安全问题。●配置审计:检查应用程序的配置文件和设置,确保其安全性和合规性;●安全评估:综合考虑应用程序的各个方面,包括架构、设计、代码、配置等,评估其整体安全性。

wKgaomTnFbyAR4OXAAh-eHBl_es876.png

图2 零信任应用安全测试的主要方法

这些安全工具增强了开发人员的安全能力,但简单部署这些工具并不能完全实现零信任目标,开发人员需要将威胁模型应用到他们的代码中,并采取思维方式来考虑攻击者可能访问的内容,以及他们会怎样破坏应用程序或周围的供应链,将应用安全编织到零信任安全体系中。

应用安全的最佳实践

零信任是一种可适用于软件供应链的思维方式和方法,可以由外向内或由内向外应用于软件开发的流程中,使开发人员更快速地开发、交付更安全的应用。

1

建立软件物料清单

与零信任其他能力支柱的建设情况类似,应用安全能力建设的第一步是发现组织环境中存在的软件,并对其进行分类。尽管这是一个具有挑战性的目标,但可以通过一些流量分析或软件成分分析(SCA)工具,识别并清点网络中的应用程序。

该清单应尽可能覆盖软件供应链中的所有组成,包括代码中的依赖项、调用的服务、公开或访问的API、工作负载以及用于开发、托管、集成和构建应用程序的工具。

软件物料清单信息为在组织中实施零信任应用安全策略提供了基础。例如,通过分析CI/CD流水线和部署环境,为其设计并实施微隔离,或者了解每个软件组件的版本,以确定应用中是否存在已知的安全漏洞,并制定升级计划,也可以基于容器清单,规划不可变工作负载的替代方案。

2

改进开发安全流程

在大多数组织中,应用开发和部署通常由许多不同的团队负责,那么其安全和管理任务应该由谁来承担?

有一种观点认为,应用安全责任应该由开发人员承担。尽管大家都同意安全编码是开发人员的责任,但引入安全相关工作可能会产生一些非预期的后果(例如,延迟交付)。另一种观点是,安全团队应该通过寻找和消除可能的安全漏洞,来负责应用的安全性。但是,由于开发周期的快速迭代,可能导致安全检查的覆盖范围存在疏忽。

此外,在软件开发生命周期中,分析、设计和构建等每个流程都有特定的风险要求,而不仅仅是安全编码就一定能生成安全的应用,特别是,合规性并没有真正出现在SDLC的视野中,组织需要采用基于DevSecOps的流程,以端到端模式解决应用开发的安全治理问题。

3

持续监控维护更新

为了维护组织环境的应用安全,需要持续跟踪安全威胁的变化,保证应用安全姿态的可观察性,以便随时优化应用程序,以减少攻击面和防范风险。通过定义安全性能指标,配置全面的日志记录,引入异常监测和性能监控,持续监控应用的运行状态,可以及时发现问题、优化性能,并提前识别潜在的安全风险。

过去,大多数组织都使用CVSS评分对漏洞进行优先级排序。从逻辑上讲,关注漏洞的严重性似乎是正确的,但更重要的问题是该漏洞是否可被利用。EPSS模型根据漏洞的特性和已知的攻击模式,对漏洞的潜在可利用性进行评估,可以提供对漏洞利用可能性的估计,从而帮助安全团队确定哪些漏洞可能是攻击者的首要目标。

结合这两个评估系统,安全团队可以制定更全面和有效的漏洞修复策略,优先处理那些同时具有高CVSS评分和高EPSS评分的漏洞,以最大程度地减少系统面临的风险。

结语

数字化转型的加速迫使组织重新评估其安全策略和基础设施,推动了零信任应用程序安全性和合规性的需求增长。在致力于零信任建设的组织中,应用程序安全经理有很多方法来实施相关行动,为变革创造动力,但最终仍需要与其他支柱中构建的解决方案相结合,或通过与其他团队协作构建相关能力(例如,统一身份库、持续认证和授权、分段资源池以及数据分类和保护),以支持应用支柱中的零信任目标和组织业务。

审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • API
    API
    +关注

    关注

    2

    文章

    1481

    浏览量

    61776
  • SQL
    SQL
    +关注

    关注

    1

    文章

    753

    浏览量

    44048
收藏 人收藏

    评论

    相关推荐

    简单认识芯盾时代信任业务安全平台

    近年来,我国信任网络访问市场保持高速增长态势。IDC报告显示,2023年中国信任网络访问解决方案市场的规模达23.3亿元,同比增长25.5%。
    的头像 发表于 11-01 16:28 191次阅读

    Arm推出GitHub平台AI工具,简化开发者AI应用开发部署流程

    软件提供了无缝的开发体验。 GitHub Actions、原生 GitHub 运行器和基于 Arm 平台的 AI 框架相结合,帮助全球 2,000 万开发者简化 AI 应用开发部署流程。
    的头像 发表于 10-31 18:51 958次阅读

    芯盾时代入选《现代企业信任网络建设应用指南》

    近日,国内知名网络安全媒体安全牛重磅发布了《现代企业信任网络建设应用指南(2024版)》报告(以下简称“报告”)。芯盾时代凭借在
    的头像 发表于 08-28 09:45 423次阅读

    芯盾时代参与《信任体系身份认证与访问控制技术规范》标准编写会议

    日前,《信任体系身份认证与访问控制技术规范》标准参编单位首次集体会议在北京成功举办。来自芯盾时代、中国电子科技集团公司第十五研究所、北京邮电大学等牵头和参编单位的专家代表参加了会议。
    的头像 发表于 08-28 09:39 472次阅读

    Akamai将生成式AI嵌入信任安全解决方案

    近日,全球领先的云服务提供商Akamai宣布,其信任平台Akamai Guardicore Platform已成功集成了生成式AI技术。这一创新举措主要体现在Guardicore助手和AI Labeling两大功能的推出,为企业的网络
    的头像 发表于 06-13 09:17 526次阅读

    芯盾时代中标国网安徽电力 信任业务安全平台助力新型电力系统安全

    芯盾时代中标国网安徽电力,通过自研的统一终端安全信任网络访问和智能决策大脑等核心技术,为客户建设
    发表于 06-04 12:08 401次阅读

    以守为攻,信任安全防护能力的新范式

    (Zero Trust Security)被提出,并逐渐成为提升网络安全防护能力的新范式。本文主要探讨攻击路径的演变、信任体系在各个阶段的
    的头像 发表于 05-27 10:18 914次阅读
    以守为攻,<b class='flag-5'>零</b><b class='flag-5'>信任</b><b class='flag-5'>安全</b>防护<b class='flag-5'>能力</b>的新范式

    芯盾时代参与的国家标准《网络安全技术 信任参考体系架构》发布

    近日,国家市场监督管理总局、国家标准管理委员会发布中华人民共和国国家标准公告(2024年第6号),芯盾时代参与编写的国家标准GB/T 43696-2024《网络安全技术 信任参考
    的头像 发表于 05-16 14:21 879次阅读
    芯盾时代参与的国家标准《网络<b class='flag-5'>安全</b>技术 <b class='flag-5'>零</b><b class='flag-5'>信任</b>参考<b class='flag-5'>体系</b>架构》发布

    芯盾时代中标中国联通某省分公司 以信任赋能远程访问安全

    芯盾时代中标中国联通某省分公司信任远程访问安全,实现数据访问最小授权、网络暴露面收敛、细粒度动态访问控制等功能,为客户建立内外网一体的
    的头像 发表于 04-16 11:32 495次阅读
    芯盾时代中标中国联通某省分公司 以<b class='flag-5'>零</b><b class='flag-5'>信任</b>赋能远程访问<b class='flag-5'>安全</b>

    什么是信任信任的应用场景和部署模式

      信任是新一代网络安全理念,并非指某种单一的安全技术或产品,其目标是为了降低资源访问过程中的安全风险,防止在未经授权情况下的资源访问,其
    的头像 发表于 03-28 10:44 2402次阅读

    芯盾时代中标江苏省苏豪控股集团 信任实现业务访问的高安全

    中标喜讯 | 芯盾时代中标江苏省苏豪控股集团 信任实现业务访问的高安全
    的头像 发表于 03-26 14:07 343次阅读
    芯盾时代中标江苏省苏豪控股集团 <b class='flag-5'>零</b><b class='flag-5'>信任</b>实现业务访问的高<b class='flag-5'>安全</b>性

    芯盾时代中标正川股份 信任替换VPN更安全更便捷

    芯盾时代中标重庆正川医药包装材料股份有限公司(简称:正川股份),基于信任安全理念,重构企业远程接入系统,替代客户采用VPN接入办公的方案,保障企业在远程办公等场景中的业务安全
    的头像 发表于 03-19 11:26 523次阅读
    芯盾时代中标正川股份 <b class='flag-5'>零</b><b class='flag-5'>信任</b>替换VPN更<b class='flag-5'>安全</b>更便捷

    HarmonyOS开发技术全面分析

    以应用迁移为例,简要地展示了分布式任务调度能力。 图4: 分布式任务调度示意图 一次开发,多端部署 HarmonyOS 提供了用户程序框架、 Ability 框架以及 UI 框架,支
    发表于 02-21 16:31

    【飞腾派4G版免费试用】为欧拉系统安装可视界面(deepin)

    一、什么是欧拉系统 “欧拉OS”是华为公司开发的一款基于Linux的操作系统。它是华为为适应未来5G时代和人工智能技术发展而研发的新一代操作系统。 该系统具有以下特征: 高安全性:提供模块
    发表于 01-05 21:19

    中标喜讯 | 芯盾时代中标某上市能源集团 以信任实现动态身份访问及权限管控

    星标“芯盾时代” 第一时间接收新鲜推文 芯盾时代中标某上市能源集团,通过信任身份安全解决方案,为客户构建信任统一用户认证平台,实现统一认
    的头像 发表于 12-19 10:10 510次阅读
    中标喜讯 | 芯盾时代中标某上市能源集团 以<b class='flag-5'>零</b><b class='flag-5'>信任</b>实现动态身份访问及权限管控