NGINX 应用程序保护 ： 速度与安全性

速度与安全性 在现代业务的步伐上保护现代应用程序和API NGINX是F5的一部分 Introduction 当今商业世界的步伐正在推动应用程序的开发方式与保护方式之间的隔阂。通过利用 基础架构和应用程序，公司可以更好地竞争并更快地适应。但是，它们也可能危害安全性。本白皮书着眼于业务应用程序不断变化的性质，以及传统安全方法必须改变的方式以跟上。 从单片应用程序到微服务 要了解当今的挑战和安全威胁，重要的是要了解业务应用程序如何以及为什么发生了变化。现代世界的事实是 ，98％的 企业依赖应用程序来运行或支持其业务运营。1在这些应用程序中，使用微服务构建的应用程序数量正在迅速增长，从2019年的40%上升到2020年的60%，54%的企业在部分或全部应用程序中使用微服务。2Theexpectation 到2022年，90%的新应用将采用微服务架构。3这些趋势不仅突出了为什么企业需要掌握应用程序的最新发展，还突出了应用程序部署的速度和敏捷性的价值。 您可能正在以同样的方式移动，从过去的整体式应用程序迁移到云原生技术，同时还实现了DevOps原则 。 无论哪个行业，商业世界都从未对过去陷入困境的人友善。客户，合作伙伴和员工不仅对您的技术驱动服务要求最高；他们期望它。市场不会等待公司适应；他们只是在没有他们的情况下继续前进。 这就是为什么企业只需确保其应用程序提供最佳的体验。他们只能通过采取积极的应用程序开发方法来提供这种体验：一种更快、更迭代的方法，提供企业保持竞争力所需的灵活性。 DevOps，微服务和容器都可以帮助提供这种备受追捧的应用程序敏捷性，全面改革老式方法，以支持当今客户期望的交付方法。但是其他关键考虑因素如何，例如保护这些应用程序？安全策略能否跟上步伐？ 对抗黑客的新前线 黑客平均每天发动2,244次攻击。那是每39秒一次。4一次成功的攻击就是对一家企业造成财务和声誉破坏，甚至完全摧毁它所需要的一切。这听起来可能是戏剧性的，但这是你的企业今天面临的困难。也就是说，尽管2020年数据泄露的平均成本为每家公司386万美元，5平均而言，只有5%的应用程序在组织的投资组合中得到了适当的保护。6 如今，98%的组织依赖于应用程序运行或支持其业务。1 什么是自适应应用程序？ 自适应应用程序的概念比传统的整体式应用程序更主动，更智能。它利用现代技术来响应其环境，自动化冗余流程以提高效率，根据性能要求进行扩展并保护自身。通过结合所有这些属性，自适应应用程序可以消除琐碎的、重复的任务，提供他们可以照顾自己的安心，并使开发人员能够专注于重要的事情-提供出色的数字体验。 单片应用 API端点 API 网关 NGINXAppProtect与作为软件负载均衡器、 API网关、Kubernetes入口控制器、每服务代理或每Pod代理运行的NGINXPlus集成。 软件负载均衡器 KubernetesPods 入口控制器 微服务 白皮书|速度与安全性：在现代业务的步伐上保护现代应用程序和API 3 更令人担忧的是攻击变得多么复杂和广泛。黑客不再只针对代码。随着对Web应用程序的攻击的40％来自API，这一数字预计将在2021年增长到90％，7更高的墙根本不能提供现代环境所需的保护。这种增加的威胁级别加上当今越来越快、更频繁的发布周期，这给安全漏洞带来了更多漏网的机会，很快就会导致灾难。 通过交付速度平衡安全需求 没有组织想要限制敏捷性或限制创新。同样，公司也不想将其数据或客户的数据置于风险之中。但是，随着商业世界的需求增加，现代应用程序开发必须与时俱进以保持竞争优势，企业被迫在两者之间做出选择。要么去 市场快速，让自己潜在的暴露，或者你操作缓慢而安全，但有可能错过船。真的必须这样吗？ 安全策略曾经在发布的最后阶段应用过，但是今天的部署速度几乎是不可能的。鉴于每个安全专业人员估计有500名软件开发人员，8支持应用程序保护的可能性不大。 最后，整个过程阻碍了跨应用程序体系结构和基础架构提供强大、一致的安全性的能力，并确保责任永远不会落在任何特定的门上。企业领导者了解安全性的重要性以及将其应用程序快速推向市场的必要性。DevOps团队重新使用SecOps来减慢部署速度，而SecOps对DevOps提供的安全控制缺乏感到遗憾。事实上，48%的专业技术人员认为安全是快速交付软件的主要障碍。9 40%的攻击 Web应用程序通过API实现，这一数字预计将在2021年增长到90%。7 搜索安全性简单性 很明显，为了推动创新并保持敏捷，DevOps自动化的有效性及其“一次构建，在任何地方运行”的简单性至关重要。但是，如果“一次构建，在任何地方都坚持”的方法可以应用于安全策略呢？为了实现敏捷和安全的前进道路 ，企业必须找到一种方法将安全性集成到应用程序的生命周期中。安全和应用程序开发不应该简单地共存：它们必须成为一体。 最好的两个世界 那么，有没有办法实现DevSecOps的乌托邦？如果你能在没有摩擦的情况下将SecOps应用安全策略实现到DevOps中，对保护和发布速度意味着什么？ 这需要的第一个改变是心态。老式的思维在当今的应用程序开发环境中没有立足之地，各方都应该接受保护应用程序的想法，而不是将其视为需要克服的障碍。所有团队都应该朝着相同的方向前进，朝着快速交付安全，高质量应用程序的共同目标努力。集成安全需要成为开发过程的标准部分。 实现这一目标所需的速度可以通过多种方式实现，其中关键是策略自动化。还需要一个轻量级的安全解决方案 ，克服“复选框”Web应用程序防火墙的限制。它必须通过为Web应用程序，微服务，容器等提供一致的控制 ，提供高性能，可扩展的安全性来解决现代DevOps环境面临的真正安全挑战。 和API。它应该触发更少的误报，关键的是，它需要比其他解决方案更快。这样的解决方案应该是CI/CD友好的，集中管理和自动化批准的安全控制，以消除工作流瓶颈并支持“左移”DevOps计划。它需要有经验丰富的团队支持，并在优化性能的同时提高可见性。 如果你能拥有所有这些，DevOps和SecOps之间的摩擦将消失，快速部署和安全之间的冲突将成为过去。凭借正确的工具和更具协作性的开发文化，提供与当今应用程序开发速度相匹配的强大、一致的保护，企业可以实现真正的安心，并快速提供令人惊叹的体验。 安全和应用程序开发不应该简单地共存：它们必须成为一体。 nginx.com nginx.com/contact-sales +1-888-882-7535 使用F5NGINXAppProtectWAF防止黑客和瓶颈 如果您的组织面临本白皮书中涉及的挑战，NGINXAppProtectWAF可以在提高应用程序的安全性以及使DevOps和SecOps团队 更加紧密地联系在一起方面发挥关键作用。NGINXAppProtectWAF是一款轻量级安全解决方案，使企业能够在不影响安全性的情况下快速将应用程序推向市场。它提供以应用为中心的安全性，使企业能够在其应用附近部署受信任的F5控件，以防止影响收入的攻击、数据盗窃、声誉损害和监管不合规。基于F5多年来完善其市场领先的WAF和机器人保护，NGINXAppProtectWAF可简化应用程序安全性和合规性。NGINXAppProtectWAF的高性能，最佳保护和极低的误报让您在竞争日益激烈的在线商业世界中高枕无忧。 参考文献 1 2 3 4https://eng.umd.edu/news/story/study-hackers-attack-every-39-seconds 5 6 7 8https://portswigger.net/daily-swig/githubs-nico-waisman-security-is-not-just-an-a-opportunity-but-a-responsible-for-us 9https://snyk.io/wp-content/uploads/dso_2020.pdf 通过30天免费试用测试NGINXAppProtectWAF。在此处注册：nginx.com/free-trial-request ©2022F5,Ic.保留所有权利。NGINX、NGINXCotroller、NGINXPls、NGINXUit、NGINXAppProtectWAF、F5、NGINX徽标和F5徽标是F5,Ic.的商标 。在美国S.在某些其他国家。其他F5商标标识为f5。.此处引用的任何其他产品、服务或公司名称可能是其各自所有者的商标，而F5没有明示或暗示的认可或从属关系。