Zaštita web aplikacija: Kompleksnost je neprijatelj sigurnosti

Javne web aplikacije i web API-i često su najvažniji dio površine napada na svaku organizaciju. Riječ je o javno izloženim servisima koje će napadači kontinuirano testirati kako bi pronašli ranjivosti ili pogrešku u konfiguraciji. Nedavni slučaj napada na U.S. T-mobile ilustrira kompleksnosti i implikacije površine napada. Dovoljna je jedna API pristupna točka koja nekom web botu omogućava neograničeni download osobnih podataka, često bez da IT operacije uoče problem. Čak i kod tradicionalne web aplikacije kao što je web e-mail, nezaštićeni servis može rezultirati katastrofalnim posljedicama – nešto što su Rackspace Exchange korisnici naučili prošle godine. 

Ovi primjeri proboja najčešće su rezultat kombinacije ljudskog faktora i rastuće kompleksnosti aplikacija. Istraživanja poput Verizon Data Breach Investigations Report potvrđuju da je više od 80% proboja rezultat ljudske nepažnje, pogreške u konfiguraciji ili dizajnu aplikacije, kao i nedovoljnog znanja o sigurnosti.

Dodatno, web aplikacije se danas grade modularno i funkcioniraju kao set raspršenih jedinica. Najčešće funkcioniraju kao arhitektura temeljena na mikroservisima, a implementirana kroz kontejnere. Kako bi stvari bile još složenije, pojedine komponente se nalaze u različitim okruženjima i na različitim lokacijama. Na primjer, u on-premise data centru s virtualnim mašinama na vSphere platformi, kao kontejner na AWS javnom oblaku, serverless API u Azure-u, server cluster u kolociranom data centru, itd. Ova mash arhitektura modernih aplikacija nudi mnoge prednosti, ali dodatno povećava kompleksnost i rizike.

Zaštita web aplikacija uz eliminaciju kompleksnosti

Svaka kompleksnost je zapravo neprijatelj sigurnosti. Otežano upravljanje otvara različite mogućnosti za napadače. Čak i ako osiguramo jednu komponentu aplikacije, adekvatna briga o svim točkama komunikacije brzo nadilazi mogućnosti administratora ili security timova (DevSecOps).

Stoga tradicionalan pristup temeljen na Web Application Firewallu (WAF) na jednoj točki sve manje “drži vodu”. Potrebna je distribuirana arhitektura koja omogućava što jednostavniju implementaciju (idealno kroz SaaS model), te podržava različite modele isporuke (on-prem, javni oblak, mikroservisi, kontejneri).

Zaštita web aplikacija uz F5

F5 Networks Distributed Cloud servisi, između ostalog, omogućuju WAF i API zaštitu na svim točkama gdje se aplikacijske komponente mogu nalaziti: on-premise, privatni ili javni cloud. Upravljanje je centralizirano kroz SaaS konzolu, a sama zaštita uključuje kontrolu bot prometa, maliciozne pokušaje iskorištavanja poznatih ranjivosti i obranu od svih ostalih rizika koji se pojavljuju jednom kada javnosti izložimo javni web servis. Usto, rješenje nudi detaljnu telemetriju i analitiku za slučaj troubleshootinga rada pojedinih komponenti aplikacija.

Više o F5 Networks Distributed Cloud WAF zaštiti pročitajte ovdje.

Kontaktirajte nas za više informacija!