选择Web应用扫描方案应注意架构问题

安全 应用安全
使用当今精确的自动化扫描技术,不管应用数量有多大,企业都可以测试所有Web应用(包括开发中和正在使用的)。那么,企业在选择Web应用扫描方案时关注需哪些特性和功能?

由于攻击者日益狡猾,定位和测试Web应用的人工方法已远远不够。适当的Web应用扫描方案可帮助企业系统性地发现运行在企业网络中的Web应用,判定这些应用是否易于遭受攻击,还有助于企业理解如何修补漏洞同时又能保护业务。使用当今精确的自动化扫描技术,不管应用数量有多大,企业都可以测试所有Web应用(包括开发中和正在使用的)。那么,企业在选择Web应用扫描方案时关注需哪些特性和功能?

[[118745]]

本文重点关注如何选择架构的问题,或可为企业提供选择的最佳方法:

1.Web应用扫描方案是一个软件产品还是一种云服务?

企业安装在网络中的Web应用扫描软件要求企业购得、配置、管理服务器,运行备份和处理补丁更新等问题。而现代的基于云的Web应用扫描方案(或称软件即服务SaaS)并不要求企业投资购买设备,也不需要持续的更新、备份数据库。这种方案通过浏览器即可使用,并可轻松地扩展从而解决新应用、新用户和位置问题,而且其使用成本也更加可预测。此外,基于云的方案还支持以客观的防篡改的方法来存储数据。

2. Web应用扫描方案可以扫描各种Web应用吗?

当今的Web应用扫描方案应当用于企业应用生命周期的各个阶段(开发过程,测试过程或生产应用过程)。现代的Web应用扫描方案应当可以使用户扫描并跟踪企业的所有应用(内部应用和面向互联网的应用),因而,企业使用一种工具就可以获悉企业所有应用的统一的安全状况。

3.能否多人同时使用Web应用扫描方案?

现代的Web应用扫描系统应当可以同时向不同的人提供不同应用的相关信息。对企业而言,寻找一款易于使用并允许多人同时扫描和报告并且彼此不冲突的Web应用扫描方案是很重要的。

4. Web应用扫描方案如何处理多位置问题?

如何处理多位置是Web应用扫描方案出现差异的重要方面,这有三种方案或技术:

本地产品:公司将Web应用扫描软件安装到内部网络上,用来扫描网络内的应用。这种产品一般会在企业网络较慢的部分或容易拥塞的部分产生瓶颈,或在通过防火墙到达互联网应用时产生瓶颈。

基本型SaaS:有些Web应用扫描方案仅能检查外部的面向互联网的应用,这一点在选择是要注意。

云服务:来自云的现代Web应用扫描方案可以同时扫描多个位置的应用。这些方案相对安全,并使用可远程管理的扫描器(物理设备或虚拟机),企业可将其安装在企业网络的不同部分,因而可以进行内部的高效扫描,并使其对其它系统的影响最小化。

5.企业是否应牺牲防火墙的部分功能?

企业绝不应当为了部署Web应用扫描方案而开放公司防火墙上的特殊端口,因为这样做会破坏企业的安全性。

6. Web应用扫描方案与其它系统集成吗?

Web应用扫描器可以成为其它安全和合规系统的一个关键的安全情报源。企业应当选择可与流行的Web应用防火墙集成的解决方案,当然还要有强健的应用程序编程接口(API)可以与企业的安全信息和事件管理(SIEM)或风险管理(ERM)相集成。

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2014-09-05 09:31:09

2012-09-26 14:51:50

2010-04-02 16:31:58

Oracle RAC

2010-04-27 16:54:11

Oracle RAC

2013-05-27 11:11:41

综合布线技术综合布线施工步骤综合布线

2010-09-07 11:00:42

2011-05-18 11:24:59

2010-11-24 11:32:46

2012-06-11 17:40:27

云计算

2009-06-28 22:54:00

Blade刀片服务器

2015-06-18 17:18:56

综合布线环境保护

2018-05-17 11:06:52

数据库SQL Server设计方案

2010-01-07 18:03:03

Linux动态库

2010-09-26 13:25:16

2011-02-17 18:51:10

2010-09-15 12:15:23

NessusWEB应用安全扫描

2010-09-29 17:18:27

2011-11-09 14:28:43

SaaS云计算

2009-07-11 10:39:16

综合布线设计实施

2010-04-09 09:46:38

Oracle RAC
点赞
收藏

51CTO技术栈公众号