隨著遠程辦公的常態化，企業組織加快了向云端遷移的步伐。Radware最近發布了《Web應用程序和API保護狀況報告》，數據顯示，受訪企業中有70%的Web應用程序運行在由公共云、私有云和本地數據中心構成的混合、異構環境中，企業應用系統面臨五大安全挑戰，安全管理者需要新的思考方式，并具備保護混合環境應用安全的關鍵能力。

　　復雜環境應用安全的五大挑戰

　　企業組織面臨的挑戰是：新興攻擊媒介、多云部署和敏捷軟件開發/DevOps等共同創造了一個復雜環境，使企業數據易受攻擊，其數字體驗遭到破壞。

　　新興威脅媒介：黑客不斷改進現有的攻擊媒介，并開發新的攻擊媒介，以繞過現有的保護措施，這會使應用程序和云環境面臨攻擊和數據泄露的威脅。

　　多云部署：現在，大多數企業組織通過跨本地、混合和公共云部署應用程序，這擴大了企業的威脅面，使一致性安全策略的實施變得更為復雜，并使企業的云安全任務進一步復雜化。因為企業組織需要保護多個云平臺，每個云平臺都有自己的功能、API、管理和報告。

　　更廣泛的攻擊面：過去，企業組織可以直接控制應用程序的后端基礎設施，只有應用程序面向客戶的一面對外公開。當前，在云環境中，企業應用程序前后端和應用程序基礎設施都是公開的，這使得企業的攻擊面擴大。

　　敏捷軟件開發和DevOps文化：云遷移的主要驅動力是企業組織對應用程序開發敏捷性的需求，其催化劑是敏捷開發和DevOps流程，它們可以加快應用程序的開發和增強，并使其獲得更頻繁的更改，但其安全性通常被放在次要位置。

　　非安全利益相關者的所有權：雖然安全人員的任務通常是保護云環境，但他們通常無權選擇或管理云環境。報告顯示，在92%的企業組織中，有關云平臺的決策由安全人員以外的利益相關者做出。

　　應用安全的六大關鍵能力

　　為了應對復雜環境下的應用安全威脅，企業需要具備以下六項關鍵能力：

　　整體防御：包括對不可知應用程序的保護，安全性必須跨越所有環境，為企業應用程序表面和云應用程序基礎設施提供360度保護。

　　自適應和自動化：企業應用程序和混合環境的安全性，必須利用基于行為和機器學習的算法，主動管理對應用程序、其底層環境、新安全威脅等的頻繁更改。

　　無摩擦：隨著企業應用程序開發和部署過程變得更加敏捷，其安全性必須與開發過程緊密集成，不得干擾業務流程。它需要具有適應性，以便能夠隨著應用程序和底層部署平臺的變化而變化。這種無縫集成必須依賴于能夠識別應用程序更改并自動調整安全策略的自動化算法。

　　一致性：企業組織需要為無處不在的應用程序提供統一、高級的安全性，以實現與應用程序基礎設施（無論是私有云，還是公共云）相同級別的整體保護。

　　可見性和控制性：企業需要對安全和開發儀表板可見和控制，這些儀表板必須提供可操作的分析、自動化和自定義控件。

　　廣泛的解決方案：企業應提供多種安全部署選項，包括云服務、軟件和混合。

　　在未來一段時間內，企業組織對跨越公共云、私有云和內部部署數據中心的混合、異構環境的依賴不會很快消失。因此，企業組織只有了解了混合環境應用安全面臨的挑戰和關鍵安全能力，才能制定有效的安全策略，來適應這些復雜的生態系統，確保應用程序和混合環境的安全。