Zajímavý

5 technologií, které pomáhají vyřešit problém se zabezpečením aplikací

5 technologií, které pomáhají vyřešit problém se zabezpečením aplikací


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Problém zabezpečení aplikací není nic nového, ve skutečnosti, již v roce 1965 měl Multics CTSS (textový editor) na IBM 7094 chybu zabezpečení - pokud by bylo otevřeno více instancí systémového editoru, bylo by možné, aby každý uživatel přečtěte si soubor hesla.

Dnes je však problém zabezpečení aplikací větší a zásadnější než kdy jindy, protože stále více lidí používá různé aplikace, které se každým dnem stávají složitějšími. Aplikace často potřebují přístup k citlivým údajům, jako jsou firemní nebo osobní informace, které se v případě ztráty nebo odcizení stávají odpovědností jednotlivce nebo organizace.

Ve skutečnosti je množství informací odcizených z aplikací ohromující. Například v roce 2018 bylo odhaleno 5 miliard záznamů, tato data obsahovala citlivá data, jako jsou e-mailové adresy, bankovní účty, informace o pasech atd. Proto je důležitější než kdy jindy zabezpečit aplikace, a proto je potřeba zabezpečení aplikací.

Zabezpečení aplikací je proces hledání chyb, jejich oprav a zvyšování zabezpečení aplikací. Ačkoli k tomu většinou dochází během vývojové fáze, zahrnuje také technologie nasazení po vývoji, protože běhové prostředí může také zvýšit nebo znemožnit zabezpečení aplikace.

To je důvod, proč existuje řada technologií a nástrojů pro zabezpečení aplikací, od hodnocení hrozeb kódování až po hodnocení šifrování, hodnocení hrozeb za běhu a auditování uživatelských oprávnění.

Analýza složení softwaru (SCA)

Analýza softwarového složení (SCA) zahrnuje sadu nástrojů, které analyzují komponenty open-source aplikace. Je to nezbytné, protože svou aplikaci nemůžete zabezpečit, pokud neznáte její součásti. Vzhledem k tomu, že moderní aplikace obsahují většinu aplikací s otevřeným zdrojovým kódem, ukazuje se SCA jako zásadní bezpečnostní technologie.

Kromě identifikace komponent poskytují nástroje SCA různé informace o těchto knihovnách, jako jsou jejich licence, jakékoli živé chyby zabezpečení atd. To znamená, že vám řeknou o chybách, abyste je mohli opravit ve svých aplikacích.

Některé pokročilé nástroje navíc nabízejí více funkcí - většinou pro podniky. Mohou například obsahovat „automatické vynucování zásad“ odkazem na každou komponentu se zásadami vaší organizace a provedením nakonfigurovaných akcí, například zasláním žádosti o schválení odborníkovi nebo selháním procesu sestavení.

Technologie softwarových kontejnerů

Softwarová kontejnerová technologie nebo kontejnerová technologie je sada technologií pro standardizaci balení aplikace spolu s jejími závislostmi. Mezi mnoha populárními kontejnerovými technologiemi jsou Docker, Kubernetes atd.

Podle Google Cloud „kontejnery nabízejí logický balicí mechanismus, ve kterém lze aplikace abstrahovat z prostředí, ve kterém skutečně běží. Toto oddělení umožňuje snadné a konzistentní nasazení kontejnerových aplikací bez ohledu na to, zda je cílovým prostředím soukromé datové centrum, veřejný cloud nebo dokonce osobní notebook vývojáře. “

Ačkoli primární výhodou kontejnerové technologie je přenositelnost aplikace, pomáhá také s problémem zabezpečení aplikace. V kontejneru je aplikace izolovaná nebo izolovaná od ostatních aplikací spuštěných na stejném počítači. Pokud je tedy napadena jiná aplikace, útočník ji nemůže použít k přístupu k obsažené aplikaci nebo k útoku na ni.

Softwarové kontejnery však na rozdíl od virtuálních počítačů nejsou explicitní hranice zabezpečení. To znamená, že může dojít ke kompromisu zvenčí, řekněme, pokud je narušen démon nebo hypervisor kontejneru. Řešením je zabezpečení kontejnerů posílením zabezpečení ukotvitelného panelu a zabezpečení kontejneru obecně.

Virtuální stroje

Virtuální stroj je emulace neboli virtualizační technologie, která emuluje počítačový systém uvnitř fyzického stroje. To znamená, že můžete spustit jiný nebo více počítačů uvnitř jednoho fyzického počítače. Například můžete spustit Windows OS a Ubuntu (populární distribuce Linuxu) na PC s Windows.

Podle Microsoft Azure poskytuje „uživatelům stejný zážitek na virtuálním stroji, jaký by měli na samotném hostitelském operačním systému. Virtuální stroj je izolován od zbytku systému, což znamená, že software uvnitř virtuálního stroje nemůže uniknout ani manipulovat se samotným počítačem. “

Mezi jeho různé výhody nabízí virtuální stroj izolované prostředí pro aplikaci, jako je softwarový kontejner. To znamená, že pokud je hostitelský operační systém nebo některá z jeho aplikací napadena, útočník nebude schopen infikovat operační systém nebo aplikaci uvnitř virtuálního počítače.

Virtuální stroje jsou navíc bezpečnější než softwarové kontejnery. Google Cloud vysvětluje: „Nejběžnější mylná představa o zabezpečení kontejnerů spočívá v tom, že kontejnery by měly fungovat jako hranice zabezpečení, stejně jako virtuální počítače, a protože takové záruky nemohou poskytnout, jsou méně bezpečnou možností nasazení.“

Interaktivní testování zabezpečení aplikací (IAST)

Interactive Application Security Testing (IAST) je skupina bezpečnostních nástrojů, která se zaměřuje na detekci bezpečnostních problémů v kódu aplikace v reálném čase. Analyzují tok provádění a příchozí provoz při sledování samotné aplikace.

Vzhledem k tomu, že nástroje IAST provádějí analýzu z aplikace, mají přístup ke zdrojovému kódu, řízení toku dat a běhového prostředí, informacím o trasování paměti a zásobníku, webovým požadavkům a komponentám aplikace. Proto mohou problém přesně určit, což vývojářům aplikací umožňuje rychle ověřit a opravit tuto chybu zabezpečení.

To je výhoda nástrojů IAST oproti nástrojům DAST (Dynamic Application Security Testing). Nástroje DAST při hlášení problémů neposkytují žádné informace o zdrojovém kódu, který je za problém odpovědný. Nástroje IAST však přesně určují problém zabezpečení ve zdrojovém kódu, čímž usnadňují práci při ladění.

Runtime Application Self-Protection (RASP)

Runtime Application Self-Protection (RASP) je technologie, která pomáhá aplikacím chránit se v reálném čase identifikací a blokováním hrozeb. Funguje to, jako by byl firewall webové aplikace dodáván přímo s runtime aplikace.

RASP chrání aplikaci zachycením a ověřením hovorů a doprovodných požadavků na data z aplikace do systému. Pokud detekuje útok, blokuje související volání, čímž chrání aplikaci. Například zastaví volání z aplikace do databáze, pokud interpretuje volání jako útok SQL injection.

VIZ TÉŽ: TATO TECHNICKÁ ŘEŠENÍ ŘEŠÍ TRILEMU PROBLÉMŮ S INTERNETEM

Ve skutečnosti může RASP podniknout i jiné akce, když zjistí hrozbu, jako je ukončení relace uživatele, zastavení provádění aplikace nebo upozornění bezpečnostního experta.

Je dobrým zvykem použít kombinaci technologií k vyřešení problému se zabezpečením aplikace. IAST a SCA pomáhají zabezpečit aplikaci během fáze vývoje a ostatní ji pomáhají zabezpečit během fáze nasazení. Navrhujeme, abyste v obou těchto fázích implementovali základní bezpečnostní opatření a nástroje.

Ve skutečnosti RASP spolu s virtuálními stroji funguje dobře při zabezpečení vašich aplikací před řadou útoků. Kontejnery s doporučenými bezpečnostními opatřeními však mohou virtuální počítače nahradit a pomoci zabezpečit vaše aplikace v kombinaci s RASP.


Podívejte se na video: Chytrá domácnost pro každého I Chytré zabezpečení (Červenec 2022).


Komentáře:

  1. John

    In short, it's the night. After the fast I was worn out ... I went to bed.

  2. Nijas

    Bomba sledujte všechny!

  3. Hadar

    Myslím, že najdete správné řešení. Neboj se.

  4. Asaf

    Mnohokrát děkuji, velmi relevantní poznámka.

  5. Ulvelaik

    Bravo, jaká vynikající odpověď.



Napište zprávu