Zaštita web aplikacija: Složenost je neprijatelj sigurnosti

Javne web aplikacije i web API-i često su najvažniji dio površine napada na svaku organizaciju. Reč je o javno izloženim servisima koje će napadači kontinuirano testirati kako bi pronašli ranjivosti ili grešku u konfiguraciji. Nedavni slučaj napada na U.S. T-mobile  ilustruje kompleksnost i implikacije površine napada. Dovoljna je jedna API pristupna točka koja nekom web botu omogućava neograničeni download osobnih podataka, često bez da IT operacije uoče problem. Čak i kod tradicionalne web aplikacije kao što je web e-mail, nezaštićeni servis može rezultirati katastrofalnim posledicama, a to je nešto što su  Rackspace Exchange  korisnici naučili prošle godine.  

Ovi primeri proboja najčešće su rezultat kombinacije ljudskog faktora i rastuće kompleksnosti aplikacija. Istraživanja poput Verizon Data Breach Investigations Report potvrđuju da je više od 80% proboja rezultat ljudske nepažnje, greške u konfiguraciji ili dizajnu aplikacije, kao i nedovoljnog znanja o sigurnosti. 

Dodatno, web aplikacije se danas grade modularno i funkcionišu kao set raspršenih jedinica. Najčešće funkcionišu kao arhitektura temeljena na mikroservisima, a implementirana kroz kontejnere. Kako bi stvari bile još složenije, pojedine komponente se nalaze u različitim okruženjima i na različitim lokacijama. Na primer, u on-premise data centru s virtualnim mašinama na vSphere platformi, kao kontejner na AWS javnom oblaku, serverless API u Azure-u, server cluster u kolidiranom data centru, itd. Ova mash arhitektura modernih aplikacija nudi mnoge prednosti, ali dodatno povećava kompleksnost i rizike. 

Zaštita web aplikacija uz eliminaciju kompleksnosti 

Svaka kompleksnost je zapravo neprijatelj sigurnosti. Otežano upravljanje otvara različite mogućnosti za napadače. Čak i ako osiguramo jednu komponentu aplikacije, adekvatna briga o svim tačkama komunikacije brzo nadilazi mogućnosti administratora ili security timova (DevSecOps). 

Stoga tradicionalan pristup temeljen na Web Application Firewallu (WAF) na jednoj tački sve manje “drži vodu”. Potrebna je distribuirana arhitektura koja omogućava što jednostavniju implementaciju (idealno kroz SaaS model), te podržava različite modele isporuke (on-prem, javni oblak, mikroservisi, kontejneri). 

Zaštita web aplikacija uz F5 

F5 Networks Distributed Cloud servisi, između ostalog, omogućuju WAF i API zaštitu na svim tačkama gde se aplikacijske komponente mogu nalaziti: on-premise, privatni ili javni cloud. Upravljanje je centralizirano kroz SaaS konzolu, a sama zaštita uključuje kontrolu bot prometa, maliciozne pokušaje iskorišćavanja poznatih ranjivosti i odbranu od svih ostalih rizika koji se pojavljuju jednom kada javnosti izložimo javni web servis. Uz to, rešenje nudi detaljnu telemetriju i analitiku za slučaj troubleshootinga rada pojedinih komponenti aplikacija. 

Više o F5 Networks Distributed Cloud WAF zaštiti pročitajte ovde. 

Kontaktirajte nas za više informacija!