又到了一年一度迎向新挑战的时刻,许多研究单位也着手预测新趋势,在疫情带动下,企业迎向数位转型的高速发展,众多企业面对现代化IT改造时,将应对更复杂的云端与边缘技术以及数位服务所带来的安全性和应用交付挑战。当谈论数位转型技术趋势,F5探讨的是企业透过应用推动价值、创造差异化与快速掌握新的竞争力。
F5台湾区总经理张??纲指出,「疫情趋动的数位优先理念下,我们看到企业朝向云原生、多云服务、云端安全、AI人工智慧、元宇宙等科技布局前进,这些变革企业需要采用持续不断的转型,包括以敏捷的方式强化、扩展数位科技,才能挑战瞬息万变的未来世界,掌握新产业价值链的商机。」
新型态应用领域环境中,F5预测以下关键技术是企业关注的发展。
迈向无中心(headless)架构的 API部署、交付和安全
应用与数位体验已经成为企业与客户无所不在的沟通形式。近几年在疫情影响下,面对面或者以实体地点为基础的商业模式不再具有优势,消费者期??新应用功能不断的扩充,由API驱动的物联网市场已经证明了这一点。
因此,应用交付和安全技术的下一个转变将由 API 驱动,这将推动无中心架构 (headless) 成为主流。"无中心架构" 指的是将业务能力和功能以 API 的形式发布,新兴的应用架构将没有层级,也不需要“应用”在消费者和资料之间充当中介。这种架构适用於可组合应用模式,并可用於组合数位服务,更可以用於驱动物联网市场。未来企业提供的数位服务有了全新的定义,API 将成为交付和安全技术的主要驱动力,也可以直接公开资料服务给企业与合作夥伴使用,这是一个重大转变,也将在 API 交付和安全方面提供新的挑战与机会。
分散式云端、边缘服务的无缝迁移与安全
F5 2022 年SOAS研究报告深切反映企业的策略营运长需要专注於营运现代化,以保持数位化转型的步伐,才能迎战挑战者。几??所有企业都在边缘等多样化环境部署传统和现代化应用架构,IT部门必须管理大量增加的新应用、容器与行动应用、乃至传统应用等以维护商业营运。
分散式云端即服务将成为现今云端技术业者和影响者积极推动采用的解决方案,来管理跨越多重环境的安全、效能与能见度问题。无论是云还是边缘,越来越多XaaS方案藉由API整合到其他商业程序和专属应用,进一步造成安全管理上的复杂度。这些安全顾虑促使企业寻求云端安全平台与边缘部署,未来也需具备相同的服务需求:简化在多云世界中的执行,并实现无缝迁移、一致的安全性和最隹性能的云端运作目标,才能成功迈向自动化驱动的全数位化业务。
影子 API 资安风险应用层安全策略优先
应用与数位体验是提供企业与客户群无所不在的沟通链接, API为各领域的企业延伸数位体验扮演至关重要的角色,从单一应用到微服务生态系统的转变,使API成为安全控制的战略点和关键点。网路安全的新核心围绕在应用与API,而专业安全人员最大的挑战就是要如何保护日益扩增的数位体验。整个企业的可视性和API清单功能仍在持续开发、协作,而没有准确清单的 ”影子API” 超出了安全团队的权限与控制。
2022 年F5 Labs研究显示,在 2022 年上半年观察到约 50 亿笔针对影子 API 的恶意交易。随着 API 的快速使用,新的漏洞和错误配置将随之出现,特别需要识别和保护影子 API,这可以透过建构所有已知 API的端点和预期操作、身份验证和授权资讯等综合清单来完成。为了解决漏洞的风险,采用分布式云 WAAP 等机器学习平台定期扫描和分析资料,确保 API 清单尽可能保持最新,可以进一步弥补安全漏洞。
Kubernetes 多云网路治理与安全
根据F5 SOAS 2022的调查发现,95% 受访者表示正执行增加现代化元件或API以及转移至云端,企业正在使用本地和跨云的容器平台来部署应用,以获得更高的敏捷性和更快的上市时间,将 Kubernetes转型为主要的应用平台投入生产,已经是目前许多企业的首要任务。
过去生产级别 Kubernetes 网路的关键组成经常被误解或低估,在缺乏可靠的 Kubernetes 网路安全策略以及应用部署策略与平台时,造成企业停机、安全漏洞以及金钱和形象的损失。如何释放Kubernetes 的最大潜力、提供多样的功能以解决导入Kubernetes多云架构後的各项挑战,其中包含了多云网路架构、Kubernetes应用部署与全球加速,从传统应用安全到容器平台边界到容器内部单元的立体应用安全议题等,将成为企业导入多云网路治理发展的下一波部署挑战。
应用与API的零信任架构
过去在讨论零信任架构,一般都聚焦在客户端将内部网路建构强大的边界并集中验证使用者身份,只防范外部的连线存取,忽略了更大的应用与API 的安全架构。
随着微服务、云端和分散式部署的普及,边界已经变得越来越模糊,没有使用者、应用、网路、伺服器、服务或API是可信的思维下,零信任模型应运而生。在零信任模型中,所有存取都透过指定的代理进行传输,该代理对所有各方进行身份验证并根据存取策略给予许可权。主要着眼必须从应用最低权限的用户存取开始把关,尽可能使用细化权限,还可以利用服务网格等自动化工具以安全的方式代理流量监控。