Zaščita web aplikacij: Kompleksnost je sovražnik varnosti

Javne web aplikacije in web API-ji so pogosto najpomembnejši del področja napadov na vsako organizacijo. To so javno izpostavljene storitve, ki jih bodo napadalci nenehno preizkušali, da bi našli ranljivosti ali konfiguracijske napake. Nedavni primer napada na U.S. T-mobile ponazarja kompleksnost in posledice napadalne površine. Ena sama dostopna točka API-ja je dovolj, da web botu omogoči neomejen prenos osebnih podatkov, pogosto ne da bi operacije IT opazile težavo. Celo s tradicionalno web aplikacijo, kot je web e-mail, ima lahko nezaščitena storitev katastrofalne posledice – nekaj, kar so se uporabniki Rackspace Exchange naučili lani.

Ti primeri prebojev so najpogosteje posledica kombinacije človeškega faktorja in vse večje kompleksnosti aplikacij. Raziskave kot je Verizon Data Breach Investigations Report, potrjujejo, da je več kot 80 % prebojev posledica človeške nepazljivosti, napake v konfiguraciji ali načrtovanju aplikacije ter nezadostnega znanja o varnosti.

Poleg tega so spletne aplikacije danes zgrajene modularno in delujejo kot niz razpršenih enot. Najpogosteje delujejo kot arhitektura, ki temelji na mikrostoritvah implementiranih preko container-jev. Da bi bile stvari še bolj zapletene, se posamezne komponente nahajajo v različnih okoljih in na različnih lokacijah. Na primer, v on-premise data centru z virtualnimi stroji na platformi vSphere, kot container v javnem oblaku AWS, serverless API-ju v Azure-u, server cluster v kolociranem podatkovnem centru, itd. Ta arhitektura sodobnih aplikacij ponuja številne prednosti, vendar dodatno povečuje kompleksnost in tveganja.

Zaščita spletnih aplikacij ob odpravljanju kompleksnosti

Vsaka kompleksnost je pravzaprav sovražnik varnosti. Težko upravljanje odpira različne priložnosti za napadalce. Tudi če zavarujemo eno komponento aplikacije, ustrezna skrb za vse komunikacijske točke hitro preseže zmožnosti skrbnikov oziroma varnostnih ekip (DevSecOps).

Zato tradicionalni pristop, ki temelji na Web Application Firewallu (WAF), na neki točki vse manj “drži vodo”. Potrebna je porazdeljena arhitektura, ki omogoča čim bolj preprosto implementacijo (idealno prek modela SaaS) in podpira različne modele dostave (on-prem, javni oblak, mikrostoritve, container-ji).

Zaščita web aplikacij s F5

F5 Networks Distributed Cloud storitve med drugim zagotavljajo zaščito WAF in API na vseh točkah, kjer se lahko nahajajo komponente aplikacije: on-premise, v zasebnem ali javnem oblaku. Upravljanje je centralizirano preko SaaS konzole, sama zaščita pa vključuje nadzor botovskega prometa, zlonamerne poskuse izkoriščanja znanih ranljivosti in obrambo pred vsemi drugimi tveganji, ki se pojavijo, ko javno web storitev izpostavimo javnosti. Poleg tega rešitev ponuja podrobno telemetrijo in analitiko za odpravljanje težav pri delovanju posameznih aplikacijskih komponent.

Več o zaščiti F5 Networks Distributed Cloud WAF si lahko preberete tukaj.  

Kontaktirajte nas za več informacij!