隨著雲大物移的發展,應用的形態與需求正在經歷變革,筆者認為接下來應用安全的趨勢在於一技一道, 技術發展持續的圍繞API理念創新, 方案、產品及服務的設計理論繼續逐步邁向DevOPS,接下來行文一篇,愚做以解析。
網路的第一性原理應是為連線二字,網站是伴隨著網際網路的出現而出現,作為連線自然人與虛擬世界的橋樑。而當下,這座橋樑的概念不再侷限於Web,它迅速的增加了車聯網應用、物聯網應用以及移動應用。當下資訊化的浪潮與科技的進步都對企業提出了更多的業務需求,而無論是勞動就業人口的下降還是從業人員的薪資上漲,都在導致當前程式設計師的比例無法去匹配近乎爆炸的需求。因而,利用好DevOPS的理念,打破部門牆,透過自動化提升效能,以及利用API 釋出,最小化迭代與複用,將會成為未來應用開發的主流趨勢。
而對於為客戶提供應用安全的廠商來說,則應看到另一個重要問題,DevOPS目標在於引導公司相關流程變革為可重複性與自動化,雖然當下已有眾多最佳實踐可以選擇,但安全卻直接將這條鏈斷開,推回起點。 這裡引用Tinfoil Security CEO的一頁PPT,可以更詳細的看到這個問題的產生,不同部門目標的不匹配,導致在合作中,產生互相牽扯的反作用力。
因而,筆者認為在未來為客戶帶來價值的廠商,一定要將應用安全的產品與方案與客戶DevOps平臺進行適配,融入整個研發體系之中。
另外一個API也不能倖免, 由於API高內聚、低耦合的特性,既降低了程式設計師、團隊以及公司間的交流溝通成本,又可以快速迭代,更新或重建業務。 引用Akamai的資料,當前在公有云的流量中,83%的流量是API請求,1/3 來自於web瀏覽器,另外的2/3 可能就來自我們的家庭電視與智慧冰箱中。
2018年,綠盟科技在應對API 繞過、注入以及跨站等的攻擊層出不窮,更有甚者,在2018年底至今,綠盟科技WEB防火牆裝置已成功解決了國內外多起利用API進行大規模應用層DDoS攻擊的事件,這一顯著的變化,讓綠盟科技的研發團隊開始關注API安全,評估當前產品的防護能力在新形態下對客戶的保障程度。 整體而言,API便利的同時伴隨著脆弱,針對API的攻擊之所以成為主流,是因為API與傳統的WEB網站相比,攻擊面沒有減少。而與此同時,新增的API往往就代表著新的業務上線,而新業務的可攻擊點會與在開發階段對安全的重視程度成直接反比,同時API簡單的特性,讓部分API的授權形同虛設,攻擊者可以非常方便的進行攻擊除錯,花費更少的時間和代價得到成功。因而,後續API安全的防護能力,應該具備對於API的授權管理、呼叫監控等功能。
雲大物移時代下,企業的業務正在經歷變革,RSAC也敏銳的觀察到了這一點,應用安全領域2019年幾乎每一個主題都伴隨著業務的形態變化,而這裡筆者認為,安全公司要做好應用安全的保障,相關產品體系的戰略目標就應該圍繞著DevOps及API進行設計,從而實現共贏。