科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全选择Web应用扫描方案应注意架构问题

选择Web应用扫描方案应注意架构问题

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

使用当今精确的自动化扫描技术,不管应用数量有多大,企业都可以测试所有Web应用(包括开发中和正在使用的)。那么,企业在选择Web应用扫描方案时关注需哪些特性和功能?

来源:TechTarget中国 2014年8月26日

关键字: Web应用安全 扫描 防火墙

  • 评论
  • 分享微博
  • 分享邮件

由于攻击者日益狡猾,定位和测试Web应用的人工方法已远远不够。适当的Web应用扫描方案可帮助企业系统性地发现运行在企业网络中的Web应用,判定这些应用是否易于遭受攻击,还有助于企业理解如何修补漏洞同时又能保护业务。使用当今精确的自动化扫描技术,不管应用数量有多大,企业都可以测试所有Web应用(包括开发中和正在使用的)。那么,企业在选择Web应用扫描方案时关注需哪些特性和功能?

本文重点关注如何选择架构的问题,或可为企业提供选择的最佳方法:

1.Web应用扫描方案是一个软件产品还是一种云服务?

企业安装在网络中的Web应用扫描软件要求企业购得、配置、管理服务器,运行备份和处理补丁更新等问题。而现代的基于云的Web应用扫描方案(或称软件即服务SaaS)并不要求企业投资购买设备,也不需要持续的更新、备份数据库。这种方案通过浏览器即可使用,并可轻松地扩展从而解决新应用、新用户和位置问题,而且其使用成本也更加可预测。此外,基于云的方案还支持以客观的防篡改的方法来存储数据。

2. Web应用扫描方案可以扫描各种Web应用吗?

当今的Web应用扫描方案应当用于企业应用生命周期的各个阶段(开发过程,测试过程或生产应用过程)。现代的Web应用扫描方案应当可以使用户扫描并跟踪企业的所有应用(内部应用和面向互联网的应用),因而,企业使用一种工具就可以获悉企业所有应用的统一的安全状况。

3.能否多人同时使用Web应用扫描方案?

现代的Web应用扫描系统应当可以同时向不同的人提供不同应用的相关信息。对企业而言,寻找一款易于使用并允许多人同时扫描和报告并且彼此不冲突的Web应用扫描方案是很重要的。

4. Web应用扫描方案如何处理多位置问题?

如何处理多位置是Web应用扫描方案出现差异的重要方面,这有三种方案或技术:
本地产品:公司将Web应用扫描软件安装到内部网络上,用来扫描网络内的应用。这种产品一般会在企业网络较慢的部分或容易拥塞的部分产生瓶颈,或在通过防火墙到达互联网应用时产生瓶颈。
基本型SaaS:有些Web应用扫描方案仅能检查外部的面向互联网的应用,这一点在选择是要注意。
云服务:来自云的现代Web应用扫描方案可以同时扫描多个位置的应用。这些方案相对安全,并使用可远程管理的扫描器(物理设备或虚拟机),企业可将其安装在企业网络的不同部分,因而可以进行内部的高效扫描,并使其对其它系统的影响最小化。

5.企业是否应牺牲防火墙的部分功能?

企业绝不应当为了部署Web应用扫描方案而开放公司防火墙上的特殊端口,因为这样做会破坏企业的安全性。

6. Web应用扫描方案与其它系统集成吗?

Web应用扫描器可以成为其它安全和合规系统的一个关键的安全情报源。企业应当选择可与流行的Web应用防火墙集成的解决方案,当然还要有强健的应用程序编程接口(API)可以与企业的安全信息和事件管理(SIEM)或风险管理(ERM)相集成。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章