主要基于静态属性对应用访问实施本地授权 。
采用上下文信息(如身份、设备合规性和/或其他属性)实施对应用的每个访问请求进行授权 , 并设置授权的过期时间 。
使用扩展的上下文信息自动化应用程序的访问决策 , 并依据最小特权原则设置相应的过期条件 。
对应用程序实施持续的访问授权 , 并引入实时的风险分析和因素 , 如行为/使用模式等 。
应用威胁保护(原威胁保护)
仅实现了威胁保护与应用工作流的少量集成 , 能针对已知威胁提供一般性防护 。
将威胁保护集成到关键业务应用的工作流中 , 能针对已知威胁和一些特定应用的威胁提供保护 。
将威胁保护集成到所有应用的工作流中 , 保护某些特定于应用程序和有针对性的威胁 。
将高级威胁保护集成到所有应用工作流中 , 提供实时可见性和内容感知保护 , 以应对特定于应用程序的复杂攻击 。
可访问应用(原可访问性)
关键应用仅在私有网络和带监控的安全公共网络连接(例如VPN)上可用 。
根据需求 , 通过代理连接的方式 , 将部分适用的关键任务应用提供给授权用户在开放的公共网络中使用 。
根据需要 , 把大部分适用的关键任务应用通过开放的公共网络连接提供给授权用户使用 。
根据需要 , 把所有适用的应用通过开放的公共网络提供给授权用户和设备使用 。
开发和部署工作流(新增)
使用非正式的开发、测试和生产环境 , 缺乏完善的代码部署机制 。
采用具备规范的代码部署机制的基础架构来支持开发、测试和生产环境(包括自动化) , 通过CI/CD流水线和必要的访问控制来 , 来支持最小特权原则 。
由不同团队完成开发、安全和运营 , 并取消开发人员在代码部署时对生产环境的访问权限 。
在可行的情况下充分利用非可变工作负载 , 更改只能通过重新部署生效 , 并取消管理员对部署环境的访问权限 , 以支持自动化的代码部署流程 。
应用安全测试(原应用安全)
在部署之前进行应用安全测试 , 主要通过手动测试方法 。
在应用部署前的安全测试中 , 使用静态和动态(即应用程序正在执行)测试方法 , 包括手动的专家分析 。
将应用安全测试整合到应用程序开发和部署流程中 , 包括使用周期性的动态测试方法 。
在企业软件开发生命周期中全面整合应用程序安全测试 , 在已部署应用程序中进行例行自动化测试 。
可见性和分析
对关键业务应用进行了一些性能和安全监控 , 但聚合和分析能力有限 。
自动采集应用信息(例如状态、健康度和性能)和安全监控 , 以改进日志收集、集成和分析 。
通过启发式技术 , 自动化地对大部分应用程序进行信息采集和安全监控 , 以识别应用程序特有的和企业整体的趋势 , 并逐步完善流程以填补可见性中存在的缺口 。
在所有应用程序上执行持续、动态的监控 , 以保持企业范围内全面的可见性 。
自动化和编排
通过手动方式 , 在应用资源分配阶段 , 设立静态的应用托管位置和访问权限 , 并进行有限维护和审查 。
定期修改应用配置(包括位置和访问权限) , 以满足相关的安全和性能目标 。
自动处理应用程序配置 , 以应对运营和环境变化 。
自动处理应用程序配置 , 以持续优化安全性和性能 。
治理
主要依靠手动执行策略来实现对应用访问、开发、部署、软件资产管理、安全测试和评估(ST&E)的管理 , 包括技术插入、修补漏洞和跟踪软件依赖 。
根据任务需求(例如 , 软件物料清单)来自动执行策略进行规范 , 通过自动化方式实现对应用程序开发、部署、软件资产管理、ST&E , 及技术插入、打补丁和跟踪软件依赖关系等方面的管理和监管 。
为应用实施分层、定制的企业范围内的策略 , 覆盖开发和部署生命周期的所有方面 , 并尽可能利用自动化的策略执行 。
完全自动化的应用开发和部署策略 , 包括通过CI/CD流程动态更新应用程序 。
推荐阅读
- 出道35年零绯闻,56岁不恋爱不结婚不生子,无父无母孑然一身
- 《暮色心约》 空降遇冷,baby扛不住收视率,任嘉伦零宣传
- 新手零基础跑步,应该跑多久?跑多快?
- 零度等于多少华氏温度
- 北京汽车零部件展会地址 北京汽车零部件展
- 详解公积金提取操作,让您零压力领取
- “刘能”儿子大婚,包1元红包被骂寒酸,赵家班稀零到场太现实!
- 家庭主妇如何理财才能赚到零花钱
- 无尽的拉格朗日新手攻略,无尽的拉格朗日新手如何零氪
- 胡兵白金卡搭机“50万积分突归零”!拍片控诉…航空公司回应了