選擇Web應用掃描方案應注意架構問題
責編:admin |2014-08-26 14:54:51由于攻擊者日益狡猾,定位和測試Web應用的人工方法已遠遠不夠。適當的Web應用掃描方案可幫助企業系統性地發現運行在企業網絡中的Web應用,判定這些應用是否易于遭受攻擊,還有助于企業理解如何修補漏洞同時又能保護業務。使用當今精確的自動化掃描技術,不管應用數量有多大,企業都可以測試所有Web應用(包括開發中和正在使用的)。那么,企業在選擇Web應用掃描方案時關注需哪些特性和功能?
本文重點關注如何選擇架構的問題,或可為企業提供選擇的最佳方法:
1.Web應用掃描方案是一個軟件產品還是一種云服務?
企業安裝在網絡中的Web應用掃描軟件要求企業購得、配置、管理服務器,運行備份和處理補丁更新等問題。而現代的基于云的Web應用掃描方案(或稱軟件即服務SaaS)并不要求企業投資購買設備,也不需要持續的更新、備份數據庫。這種方案通過瀏覽器即可使用,并可輕松地擴展從而解決新應用、新用戶和位置問題,而且其使用成本也更加可預測。此外,基于云的方案還支持以客觀的防篡改的方法來存儲數據。
2. Web應用掃描方案可以掃描各種Web應用嗎?
當今的Web應用掃描方案應當用于企業應用生命周期的各個階段(開發過程,測試過程或生產應用過程)。現代的Web應用掃描方案應當可以使用戶掃描并跟蹤企業的所有應用(內部應用和面向互聯網的應用),因而,企業使用一種工具就可以獲悉企業所有應用的統一的安全狀況。
3.能否多人同時使用Web應用掃描方案?
現代的Web應用掃描系統應當可以同時向不同的人提供不同應用的相關信息。對企業而言,尋找一款易于使用并允許多人同時掃描和報告并且彼此不沖突的Web應用掃描方案是很重要的。
4. Web應用掃描方案如何處理多位置問題?
如何處理多位置是Web應用掃描方案出現差異的重要方面,這有三種方案或技術:
本地產品:公司將Web應用掃描軟件安裝到內部網絡上,用來掃描網絡內的應用。這種產品一般會在企業網絡較慢的部分或容易擁塞的部分產生瓶頸,或在通過防火墻到達互聯網應用時產生瓶頸。
基本型SaaS:有些Web應用掃描方案僅能檢查外部的面向互聯網的應用,這一點在選擇是要注意。
云服務:來自云的現代Web應用掃描方案可以同時掃描多個位置的應用。這些方案相對安全,并使用可遠程管理的掃描器(物理設備或虛擬機),企業可將其安裝在企業網絡的不同部分,因而可以進行內部的高效掃描,并使其對其它系統的影響最小化。
5.企業是否應犧牲防火墻的部分功能?
企業絕不應當為了部署Web應用掃描方案而開放公司防火墻上的特殊端口,因為這樣做會破壞企業的安全性。
6. Web應用掃描方案與其它系統集成嗎?
Web應用掃描器可以成為其它安全和合規系統的一個關鍵的安全情報源。企業應當選擇可與流行的Web應用防火墻集成的解決方案,當然還要有強健的應用程序編程接口(API)可以與企業的安全信息和事件管理(SIEM)或風險管理(ERM)相集成。