误区三:应用交付的安全问题应该由网络安全设备来保障
这里面存在一个概念的混淆,就是网络安全和Web安全。
我们知道,传统的网络安全,一般指的是基于交换和路由设备的防火墙,主要作用于网络的4层以下,通过分析数据包的包头,来检测和识别攻击的存在。
而如今,网络攻击已经由传统的三四层向应用级的四至七层扩展,因为这里有更加诱人的账户密码和商业信息。而传统的防火墙对于应用层的保护是远远不够的。
目前在全球,Web安全问题已经成为黑客攻击的一个重点目标,而一项来自 Frost & Sullivan 公司的调查结果显示,超过61%的人认为,他们部署的网络防火墙可以防范Web 攻击!
这是一个很可怕的数字,我们姑且不论这个调查的样本差异性,起码,这里面反应了一个严峻的事实,那就是我们目前对于应用交付的安全问题还缺乏足够清晰的认识。
实际上,应用交付对于Web应用的影响主要就是加速和安全保护,而安全又是最容易被忽略的问题。成熟的应用交付产品和解决方案应该包含对Web安全的保护——起码要有相应的部署说明和支持接口。
应用交付的安全问题,远远不是网络防火墙可以搞定的,因为,从本质上讲,这是两个层次的概念,就算网络防火墙想帮忙,也是鞭长莫及。