什么是应用安全?

 

应用安全是应用级别的安全措施,旨在保护应用内的数据或代码免遭窃取和劫持。它涵盖了在应用开发和设计期间发生的安全注意事项,还涉及在应用部署后对其加以保护的系统和方法。

 

应用安全可能包括可识别或最大限度减少安全漏洞的硬件、软件和规程。路由器是硬件应用安全的一种形式,可以防止任何人通过 Internet 查看计算机 IP 地址。但应用级别的安全措施往往也内置于软件中,例如应用防火墙,其对允许和禁止哪些活动作出了严格定义。规程涉及的是与包含常规测试等协议的应用安全例程类似的事项。

VMware 应用安全

了解如何在不同环境中通过减小应用的受攻击面来缓解威胁

免费下载 

应用安全定义

应用安全是指开发安全功能并将之加在应用中进行测试,以防止安全漏洞遭受未经授权的访问和修改等威胁的过程。

 

为何应用安全如此重要

应用安全非常重要,因为今天的应用往往可通过各种网络获取并且一般都连接到云环境,这就增加了其遭受安全威胁和侵害的风险。不仅要在网络层面确保安全,还要注重应用本身的安全,在这一点上,人们面临的压力越来越大,受到的激励也越来越高。造成这种情况的一个原因在于,现如今,黑客攻击应用的次数比以往更多。应用安全测试可以揭示应用级别的薄弱之处,从而帮助避免这些攻击。

 

应用安全的类型

不同类型的应用安全功能包括身份验证、授权、加密、日志记录和应用安全测试。开发人员还可以通过编写应用代码来减少安全漏洞。

 

软件开发人员可以在应用中构建身份验证和授权程序,以确保只有获得授权的用户才能访问该应用。身份验证程序可以确保用户的身份与其所声称的一致。通过要求用户在登录应用时提供用户名和密码可以实现这一点。多因素身份验证需要进行多种形式的身份验证,这些因素可能包括您知道的内容(密码)、持有的装置(移动设备)以及您自身的特征(指纹或面部识别)。

 

经过身份验证后,用户即可获得访问和使用该应用的授权。系统可以比对用户的身份与授权用户列表,以此来验证该用户是否有权访问此应用。身份验证必须在授权之前进行,以便应用仅将经过验证的用户凭证与授权用户列表进行匹配。

 

在用户通过身份验证并使用该应用后,其他安全措施可以防止网络犯罪分子查看或使用用户的敏感数据。在云端应用中,包含敏感数据的流量在终端用户和云端之间传输,可以加密该流量以保证数据安全。

 

最后,如果应用中存在安全漏洞,日志记录可以帮助确定谁通过何种方式获得了该数据的访问权限。应用日志文件提供了时间戳记录,其中记录了谁访问了该应用的哪些内容。为了确保所有安全控制都可正常运作,必须进行应用安全测试。

 

云端的应用安全

要实现云端的应用安全,还面临着一些额外挑战。由于云计算环境提供的是共享资源,所以必须特别留意,确保用户只能访问他们有权在其云端应用中查看的数据。此外,敏感数据在云端应用中更易遭受攻击,因为此类数据是通过 Internet 在用户和应用之间进行传输的。

 

移动应用安全

移动设备也是通过 Internet 而非专用网络传输和接收信息的,这使其同样容易遭受攻击。企业可以使用虚拟专用网络 (VPN) 为远程登录应用的员工提供进一步的移动应用安全保护。另外,在允许员工在连接到公司网络的移动设备上使用移动应用之前,IT 部门可能会对这些应用进行审查,以确保它们符合公司安全策略。

 

Web 应用安全

Web 应用安全适用于 Web 应用,即用户利用 Internet 通过浏览器界面访问的应用或服务。由于 Web 应用位于远程服务器而不是本地用户设备上,因此,用户必须通过 Internet 传输和接收信息。对于托管 Web 应用或提供 Web 服务的企业而言,Web 应用安全是需要特别关注的问题。这些企业通常选择借助 Web 应用防火墙来保护其网络免遭入侵。Web 应用防火墙会检查是否存在有害数据包并在必要时予以拦截,以此来提供保护。

 

什么是应用安全控制?

应用安全控制是用于在编码级别增强应用安全的技术,可以减少应用受到攻击的可能性。网络犯罪分子可能会借助异常输入来利用应用的薄弱之处,而很多应用安全控制措施都用于应对应用对这些异常输入作出的响应。程序员可以为应用编写代码,使其可以更好地控制这些异常输入的结果。模糊测试 (Fuzzing) 是一种应用安全测试,即,开发人员通过测试异常值或异常输入的结果,探索导致应用异常运作并可能造成安全漏洞的情况。

 

什么是应用安全测试?

应用开发人员会在软件开发过程中执行应用安全测试,以确保软件应用的新版本或更新版本中不会存在安全漏洞。安全审核可以确保应用符合一组特定的安全标准。待应用通过审核后,开发人员必须确保只有获得授权的用户才能对其进行访问。在渗透测试中,开发人员会从网络犯罪分子的角度进行思考,寻找攻击应用的方法。渗透测试可能包括社会工程攻击,或试图欺骗用户允许未经授权的访问。测试人员通常会实施未经身份验证的安全扫描和经过身份验证的安全扫描(作为登录用户),以检测可能未在这两种状态下显示的安全漏洞。

VMware 应用安全、解决方案和资源

通过桌面和应用虚拟化确保数据安全的三个步骤

VMware 提供的桌面和应用虚拟化解决方案可以帮助企业保护内部数据,实现出色的用户工作效率。但您可能会问,这是如何做到的?桌面和应用虚拟化通过三种简单方式保护企业数据。

保护现代应用安全面临的挑战

现代应用通常包括服务器、虚拟机、服务和数据库网络,这些应用都采用的是协同工作的方式。这意味着应用安全必须实现与应用本身同样敏捷。

应用安全性软件 - AppDefense

AppDefense 并不跟踪威胁,而是了解应用的预期状态和表现,然后监控预期状态是否变化,是否存在威胁。检测到威胁时,AppDefense 会自动进行响应。

保护应用和基础架构

vSphere 提供全面的内置安全功能,是安全的软件定义数据中心 (SDDC) 的核心,可确保应用、基础架构、数据和访问的安全。

为任意位置的应用提供安全保护的五种方式

现代应用容易受到黑客和恶意软件的攻击。发起网络攻击比以往任何时候都要容易,伴之而来的是与日俱增的安全损失。

网络虚拟化和安全性软件

VMware NSX® Data Center 以纯软件形式提供虚拟化网络和安全保护,完善了软件定义数据中心 (SDDC) 的一大关键支柱,它还支持虚拟云网络,可实现跨数据中心、云环境和应用的连接和保护。