Web 应用和 API 已成为构建业务关键型应用程序的首选工具，而这些应用程序不但面临着多云环境、新兴架构等带来的复杂性，也受到愈加严峻的暴力破解、信息泄露、会话劫持、跨站脚本、注入攻击等安全挑战。

现代 Web 应用程序防护七大关键

对于安全专业人员而言，现代应用程序的安全防护难度日益加剧。云端业务迁移和分散部署在各个不同环境中的应用程序、新兴架构和实践的逐步应用，如 API 生态系统、微服务和 CI/CD、SaaS(软件即服务)、存在供应链攻击风险的远程办公环境以及不断恶化的威胁形势等多种趋势同时演进致使复杂性呈指数级增长。

受知识、资源和法规的制约，通常企业在选择Web 应用程序和 API 保护(WAAP)方案时，往往很难在最佳效能和最佳安全之间取得平衡。为此，Fortinet提出评估 Web 应用程序安全解决方案是否能够实现更安全、更高效且更易于管理的目标时，应牢记 Web应用程序和API保护策略7大关键：

关键一

安全覆盖范围

对于安全防护覆盖范围，首先可以参考权威的OWASP 十大 Web 应用漏洞攻击风险。所以，Web安全解决方案的核心优势在于利用异常检测和零日保护等功能消除这些风险。其次是基于机器学习和行为分析，区分爬虫程序和人类用户，以及善意和恶意爬虫程序。同时确保解决方案提供实时监视功能，以便在威胁发生时检测和响应威胁。

关键二

易于操作

首先，需要确保解决方案搭载用户友好且直观的仪表盘 ，以便于管理和监控。同时，方案还需要提供中心化管控实现集中统一控制 Web 应用程序和 API 安全策略，进而实现简化管理。而自动化能力则能够基于规则的操作和自动事件响应，最大程度减少手动干预。

关键三

降低总体拥有成本

对于客户来说，当前最有效的降低总体拥有成本的突破点是可扩展性，那些能够随组织需求而不断扩展的解决方案，能够有效避免产生大量额外费用。其次是考虑选用云原生或混合解决方案，无需本地硬件部署并降低维护费用。第三是评估符合预算和使用需求的许可模型，如基于订阅的计费模式，能够有效的降低初期投入费用。

关键四

提高生产力

实现生产力的首要条件是选择具备强大报告和分析功能的解决方案，其对安全事件和安全趋势的深入见解能够提高防护措施的有效性。其次是确保解决方案与现有安全工具和基础架构无缝集成，消除生产力制约因素。最后是方案能够随客户需求实现自定义选项，以便客户可以根据自身独特要求和工作流定制专属解决方案。

关键五

自动化和集成

首先方案需要实现事件响应自动化，如拦截恶意流量或根据预定义规则触发警报，自动化响应不但能够提升企业应对威胁的效率，也能有效降低工作人员的重复劳动。而集成则包含两个方面，第一是寻求集成威胁情报源可实现威胁自动关联和自动丰富上下文的解决方案。第二是确保解决方案可原生连接至SIEM、SOAR等环境中的安全解决方案。

关键六

合规

合规方面首先确保解决方案有助于满足与所在行业相关法规要求，如 GDPR、HIPAA 或 PCI DSS。其次是验证解决方案能否提供全面的审计跟踪和报告功能，以促进合规性审计。

关键七

支持和培训

评估供应商的支持水平，包括技术支持、更新和程序修复的可用性和及时性，能够为方案落地后的能否获得供应商的及时、有效维护提供见解。而培训资源的评估则能够反映出供应商能否让方案有效在企业内进行落地实施。

资料来源于网络，详情请点击：

下一代防火墙 (NGFW) 虚拟设备（https://www.fortinet.com/cn/products/private-cloud-security/fortigate-virtual-appliances）

DDoS防御（https://www.fortinet.com/cn/products/ddos/fortiddos）