随着新技术的不断演进,DevOps开发模式不断被利用,Web应用程序的开发相比过往更高效。随之而来的是保护这些应用程序同样面临着巨大挑战,黑客的攻击手段不断多变,而DevOps团队成员却不都是安全专家,难以保证应用程序的安全性。RASP是一种在服务器上运行并在应用程序开始运行时生效的技术,可用于实时检测黑客对应用程序的攻击,是DevOps开发模式下的极佳选择。
放眼当下,众多软件开发流程使用持续集成/持续交付(CI/CD)工具进行管理,这些工具可以自动化整个发布流程。RASP技术有如下3个原因比较适合DevOps开发中的 CI/CD。
传统上,开发人员往往需要较长的时间进行Web应用程序开发,并慢慢完成应用程序代码的构建、测试和bug修复。随着敏捷开发模式的盛行,缩短了应用程序开发、上线运营时间,而RASP可以检测到任何bug或漏洞,并实时解决问题,确保应用程序的所有版本都是安全的。
尽管Web应用程序防火墙(Web Application firewall, WAF)是最常见的网络保护形式之一,但随着黑客攻击应用程序的威胁不断演变,它已不再是抵御威胁的有效方法。WAF只能保护应用程序的外围,并要求开发人员在出现漏洞时手动梳理代码行来定位漏洞,然后再手动修复问题。此外,安装、更新和配置防火墙可能很麻烦,这就要求开发人员在需要进行更新或重新配置时必须使应用程序脱机。
而使用RASP,漏洞可以自动识别、精确定位并修补,无需开发人员进行必要的干预,使他们能够将更多的精力放在编码和开发更好的应用程序上。RASP程序的安装和更新也非常容易,通常需要两分钟左右的时间来准备运行和完全配置。
当采用了RASP之后,开发人员可以将更多精力专注于开发上,避免了过多的时间浪费在漏洞的查找和修复中,可以大大加快应用程序上线的速度。
由于现代应用程序安全检测和保护技术运行缓慢,无法跟上DevOps对敏捷性的要求,而RASP技术的出现为企业提供了必要的DevOps安全能力。
在交互式应用程序安全测试(IAST)用例中,RASP通常用于应用程序安全测试。在这种情况下,RASP运行在测试服务器上,并报告检测到的安全漏洞。
RASP用于应用安全保护时,通常运行在生产服务器上,对检测到的漏洞进行屏蔽。在此上下文中,RASP由一个插装到生产服务器中的代理组成。它不需要诱引器,因为任何黑客活动都可以激活RASP。
当安装在生产服务器上时,RASP还会执行运行时安全诊断。虽然它的保护功能被停用,但报告功能仍然处于使用状态。RASP将在DevOps安全性的成熟、发展和采用中扮演重要的角色。
通常,RASP驻留在应用程序服务器序中,因此它是应用程序交付过程的一部分。RASP提供了两种不同的方法来帮助解决应用程序安全性问题。第一个是在预发布或预部署阶段,而第二个是在生产阶段。无论哪种方式,部署看起来都非常相似。但是根据选择的不同,用法可能会有很大差异。
RASP用于应用程序完全构建完成并在启动之前进行最终测试的时候。在这里,RASP可以以几种方式部署。可以将其部署为仅进行监视,使用应用程序测试和测试运行时行为来了解如何保护应用程序。另外,RASP可以在试图破坏应用程序而调用安全测试时进行监控,用RASP执行安全分析并传输其结果。开发和测试团队可以了解RASP是否检测到被测试的攻击。最后,RASP可以在完全阻塞模式下部署,以查看安全测试是否被检测和阻塞,以及它们对用户体验的影响。这为在应用程序投入生产之前更改应用程序代码或增强RASP规则提供了机会。
一旦将应用程序放在生产环境中,在实际客户使用它之前或之后,可以配置RASP来阻止恶意应用程序请求。无论RASP工具如何工作(无论是通过嵌入式运行时库、servlet过滤器、内存中执行监控,还是虚拟化代码路径),它都通过检测实时运行时行为中的攻击来保护应用程序。这个模型本质上提供了执行路径扫描,监视所有用户请求和参数。与在网络或web代理层阻止请求的技术不同,RASP在应用层检查请求,这意味着它可以完全访问应用程序的内部工作。与外部安全产品相比,API层提供了更好的可见性来确定请求是否是恶意的,以及更集中的阻塞功能。
RASP最终不只是用于测试,而是用于完整的运行时保护和阻止攻击。
伴随着越来越多的企业使用DevOps的开发模式,当融入sec的安全理念时也就为DevOps开发提供了一个全面的安全解决方案。除了大家熟知的AST测试工具,还有我们今天跟大家分享的RASP技术,更多的就是解决了“Ops ”(DevOps 的运维部分)安全。后面为大家分享更多关于RASP的相关技术,探讨它的安全应用。
原文始发于微信公众号(RASP社区):RASP技术在DevOps中的安全应用
评论