随着企业推动数位转型,各行各业采用更多云端服务,再加上实施混合办公,导致资安防御边界日趋模糊。骇客可乘之机越来越多,也出现更多使企业猝不及防的新型态威胁。
为协助企业强化资安防御,IT 智能化最佳夥伴−MetaAge 迈达特携手全球云端与网路资安领域的领导者Akamai,共同聚焦微分段(Micro-Segmentation)如何应对复杂威胁、Cloud WAF 的简单实施与巨大效益,同时深入探讨 API 安全最佳实践。
Akamai:蝉联 6 年 Gartner 魔力象限的资安领导品牌
Akamai为全球领先的内容传递网路(CDN)与云服务的供应商,也是全球唯一标榜100% SLA 的云服务供应商,Akamai 的产品及服务在全球各地受到广泛应用。至今已打造全球规模最大、最稳定的智能Edge平台,内含40余万台伺服器,以及覆盖全球逾140国超过1,600个ISP 网路,承载全球15~30%的Web流量。
Akamai凭藉即时大数据分析、专业服务人员,辅以累积20年的深厚网路经验,得以在提供优异的网路效能之同时,一并提供多层次的资安托管服务。除此之外,Akamai 更在 2024 年整合具备 API Security多项创新技术的Noname,将提供更强大的 API Security 解决方案。
Guardicore微分段技术,从容应对复杂威胁
随着虚拟化、容器化、多云化兴起,造成网路边界模糊化,加上老旧系统无法升级,导致资安控管难上加难。为解决上述难题,Akamai资深技术经理 Kevin Wang指出,近年各界积极倡导零信任架构,不过导入零信任的挑战不少,例如:缺乏充分的资产清单与管理、缺乏对连线和使用模式的可视性等,而「微分段」(Micro-Segmentation)则被视为克服上述难题的解决方案。
微分段技术基於软体的分段元素,可将安全控制与底层基础架构分离,并支援企业组织灵活地在任何环境和位置扩展防御能力和监控能力。Akamai Guardicore的微分段解决方案,专门协助企业降低网路深层面的攻击,不仅做到纵深防御,更形成阻止威胁在网路架构中横向移动的防护机制,且可支援公有云、私有云、混合云的网路环境。
某企业采用Guardicore 降低98% 的攻击面积
Akamai Guardicore拥有许多备受好评的功能,包含广泛支援新旧OS、提供完整东西向连线轨迹记录、搜寻并自动注记不合规资产、透过LLM自动生成Policy等,且能协助用户大幅减少连线需求。例如,台湾某企业在使用Guardicore 之前,需开放逾15万条对外连线;导入Guardicore後则骤减至3千多条,形同降低高达98%的攻击面积。
着眼於微分段的重要性,Akamai更在2024年发布新一代零信任平台:Akamai Guardicore。作为首个同时结合零信任网路存取(ZTNA)和微分段技术的资安平台,Akamai Guardicore诉求以单一介面、Agent与政策引擎,同时提供微分段、ZTNA、MFA与DNS防火墙等多重功能,全面强化企业内部隔离管控,协助资安团队阻止勒索软体、超前法遵要求。
启用Akamai AAP,一举建立Cloud WAF等多重防护
连续6年居於Gartner领导象限的Akamai APP(APP & API Protector)服务,主要用於防御网页伺服器入侵、网页应用程式入侵与DDoS。MetaAge迈达特云端技术顾问 Bill Lee指出,Akamai AAP是兼具防御与加速的一体式方案,包含WAF、CDN、API防护、Bot监控、以乾净流量计费的无上限DDoS防御。
Bill Lee谈到,AAP包含多项重要技术,包含自适应安全防护引擎,以AI/ML判别请求的威胁级别;再来是Site Shield,可防止直接连线源站攻击;还有支援评估模式,便於确认新服务上线後是否需要调整WAF规则;也支援Penalty Box「关禁闭」功能,当某请求被Deny,接下来10分钟内将全面拦阻该IP的访问;亦可根据流量自动更新安全规则;并提供API Discovery协助发掘未被控管的API流量;也提供Bot的可视性与缓解。
Bill Lee 更提到,Akamai Cloud WAF则具有不少优於硬体WAF的相对优势,举凡防御力、效能、扩展性、可用性、投资回报等,皆胜於硬体 WAF。在防御力方面,Akamai全球拥有逾300Tbps频宽,能有效防御各式攻击,反观硬体则无法解决塞爆线路频宽攻击。
Akamai AAP 应用实例,大幅降低攻击风险、提升网站效能
截至目前,Akamai在台湾缔造的成功案例遍布不同的行业领域。例如以金流服务见长的蓝新科技,有监於DDoS攻击层出不穷,单靠固网的流量安全方案无法满足防御需求,於是引进Akamai AAP,在固网线路前增设立一层强力防护网。
而在房仲业界颇负盛名的中信房屋,曾发现其官网速度过慢甚至停滞,研判与日益复杂的网路爬虫及DDoS攻击有关;因而决定导入Akamai AAP,取代原有的云端WAF与Anti-DDoS模组,有效根绝这些导致网站效能不佳的干扰因子,确保官网维持流畅的浏览品质。
拥有可乐果、元本山、卡迪那…等知名休闲零食品牌的联华食品,亦藉助Akamai AAP保护架设於公有云的电商网站,确保源站IP被有效隐藏、阻绝骇客直接访问与扫描,连带避免因为遭受攻击而造成流量费用暴增。
API攻击正以年增 109% 的速度增加,您的企业准备好了吗?
当今,API 攻击事件不仅数量增长极快,其手法也进化得十分快,甚至出现无人认识的 API 攻击,并且以既有网路应用程式和 API 保护措施可能都侦测不到的方式进行攻击。Akamai 2024年的调查就指出,API攻击正以年增 109% 的速度增加,相关成因包括身份认证机制失效、权限设定不当、版本没有管理、错误安全设定、返回过多不适当的资料等。从API角度来看,很多资料安全议题其实出自程式设计不当或正常服务遭滥用,需藉助侦测机制来阻绝合法用户所做的不合法行为。
Akamai 整合Noname,完整守护API生命周期
API保护难度甚高,因API是Stateless的,每个API呼叫的Code皆属单一独特,无法利用Session或流量概念来识别不合法行为,另有API Inventory难以控管的问题。如果没有针对 API 进行全面清查,企业与组织就会面临资安盲点,企业的 API 也将无法受到保护。
监於此,Akamai已在2024上半年完成整并知名API安全公司Noname Security,藉由Akamai 既有的WAP的一些功能,再加上Noname的API防护,便能完整涵盖API生命周期防护,不仅防御已知攻击,亦可针对一些异常行为的攻击进行分析。Akamai 整并Noname後的API Security提供持续测试、API滥用保护、状态管理等关键功能,可有效遏阻无效Token的访问、未经验证的机敏数据访问,并支援速率限制。
●