Приложение - король. Вот почему ему нужна высочайшая безопасность в облаке», — говорит Лори МакВитти.
Даже к незначительным заявкам следует относиться как к средневековой королевской семье и во всех случаях сопровождать их личный телохранитель — особенно, когда монарх поселяется в облаке, — говорит Лори. МакВитти
Последний успешный Массовая атака с помощью SQL-инъекций привела к успеху Lizamoon в повестку дня специалистов по информационной безопасности. Но Lizamoon вызывает особую тревогу из-за своего влияния на небольшие организации. По крайней мере, так считают эксперты по безопасности, которые охарактеризовали это как «обычную угрозу, которая в основном поражает малоизвестные сайты с низким трафиком».
Крупные организации, знакомые с методами безопасного кодирования, имеют ресурсы и опыт для решения проблемы нехватки услуги безопасности, доступные в облачных вычислениях. Сделают они это или нет – другой вопрос. Слишком часто самоуспокоенность может подорвать даже всеобъемлющие стратегии безопасности.
Человеческая ошибка также может стать причиной того, что самый бдительный человек станет жертвой постоянный шквал атак совершены против сайтов, единственным преступлением которых является доступность в общедоступном Интернете.
огромный объем и изменчивость атак борьбы с веб-приложениями, должны напоминать организациям любого размера, но особенно тем, которые, словно мотыльки, притягиваются к яркому пламени облачные вычисления — эта безопасность является предметом постоянной заботы.
Личный телохранитель приложения King
Недавнее признание Barracuda Networks о том, что она была скомпрометирована посредством массовой атаки SQL-инъекцией вызвало множество комментариев, в основном негативных. С одной стороны, поставщик средств безопасности стал жертвой атаки, от которой он якобы защищает клиентов.
Но обратная сторона медали, если вы прочитайте ответ и объяснение Барракуды, заключается в том, что рассматриваемый брандмауэр веб-приложений (WAF) не был активен во время атаки.
Также не заявлено понимание сообществом безопасности в целом того, что атаки продолжаются. Двадцать четыре часа в сутки, семь дней в неделю, 365 дней в году. Таким образом, разумно предположить, что такие атаки происходили регулярно, пока WAF был активен, и никаких нарушений не произошло. Этот факт, безусловно, доказывает, что WAF действительно приносит пользу, защищая уязвимые приложения.
Организации, внедряющие облачные вычисления, будь то для миграции критически важных бизнес-приложений или развитие «с нуля», следует принять во внимание последствия удаления таких гарантий из авангарда применения. защита. Приложения, защищенные WAF и перемещаемые в облако, могут внезапно стать уязвимыми, лишенными защиты инфраструктуры безопасности предприятия.
Перемещение или развертывание приложения в облаке не должно происходить в вакууме. Скорее, его следует рассматривать как миграцию или развертывание мини-центра обработки данных. Такое развертывание приложения должно сопровождаться всеми компонентами и службами, необходимыми для реализации и обеспечения соблюдения корпоративных требований. безопасность, чем-то вроде личного телохранителя короля приложений.
Куда идет Кинг Аплимент, туда же идет и его личная охрана. Поступить иначе — значит спровоцировать нападение и в конечном итоге стать жертвой компромисса — или того хуже.
Архитектура – капитан королевской гвардии
С каждой новой моделью развертывания появляются новые архитектуры для ее поддержки. Облачные вычисления ничем не отличаются и на самом деле могут потребовать большего внимания, поскольку, по сути, вы перемещаете приложение на враждебную территорию и должны уделять особое внимание безопасности.
Облачные вычисления могут потребовать большего внимания, поскольку, по сути, вы перемещаете приложение на враждебную территорию и должны уделять особое внимание безопасности.
Эта архитектура может потребовать развертывания сервисов в облаке или изменения в корпоративная архитектура для поддержки контроля безопасности существующих сервисов, размещенных в облаке Приложения. Это может повлечь за собой включение в архитектуру инфраструктуры предприятия использования внешних служб безопасности.
Эти услуги развертываются в другом месте, чтобы обеспечить одинаковую гибкость и охват приложений независимо от того, развернуты ли они внутри компании или в облаке.
Независимо от того, какой архитектурный подход лучше всего соответствует данной организационной культуре и терпимости к риску, существует множество свидетельства того, что неспособность защитить приложения — даже самые малоизвестные и с низким трафиком — приведет к компромисс.
К счастью, Лизамун оказывает относительно небольшое влияние. Несмотря на то, что было заражено более 500 000 URL-адресов, из-за своей реализации он считается малоугрозным для клиентов. Эта оценка не гарантирует, что будущие массовые инфекции будут иметь столь минимальное воздействие.
Организации — особенно специалисты по безопасности и все чаще девопс команды — должны будут продолжать проявлять бдительность и стойкость, особенно когда приложения выходят в более общедоступные и неконтролируемые среды, такие как облачные вычисления.
Лори МакВитти отвечает за обучение и пропаганду услуг приложений в компании по доставке приложений. Сети F5. В ее обязанности входит подготовка технических материалов и участие в общественных форумах и организациях по отраслевым стандартам. МакВитти имеет обширный опыт программирования в качестве архитектора приложений, а также в разработке и администрировании сетей и систем.
Получайте последние новости и анализ технологий, блоги и обзоры. доставлено прямо на ваш почтовый ящик с ZDNet Великобритании. информационные бюллетени.