全球最大CDN提供商Akamai怎樣理解安全
責編:gltian |2018-06-19 14:40:56Akamai曾作為全球最大內容分發網絡(CDN)服務提供商為業界熟知,在全球130多個國家和地區,部署了超過24萬臺服務器,擁有廣泛且高度分散的CDN網絡。現在,Akamai將自身重新定義為全球最大規模且值得信賴的云交付平臺廠商,幫助企業在不損失數字化體驗的前提下,提升企業在云端、網站、移動端App的安全性。
Akamai每年會進行兩次平臺級的能力更新。在今年春季發布會上,Akamai分享了去年和Forrester合作的報告——“企業數字化體驗和安全的交叉”的主要觀點,并介紹了今年在“網絡&移動性能、云安全、企業安全(零信任架構)、開發運維(DevOps)、和OTT體驗”這五個方面的能力增強。
我們先來看看Forrester與Akamai合作的報告有哪些值得關注的內容?
一、Forrester報告:數字化+安全——定義未來經濟
咨詢機構Forrester代表Akamai在2017年調查了350名企業IT高管,調查結果顯示,數字化轉型越成熟的企業,越能更好的平衡技術創新所帶來的全新數字化體驗與安全性間的關系。
Akamai區域副總裁暨大中國區總經理李昇先生向記者表示,從調查結果來看,這是一個客戶的時代,企業需要更好的平衡效益,以及用戶對隱私和安全性的要求。即使在實際情況中,這兩點在一定程度上是對立的。因為企業只有得到客戶的的信任才能繼續生存和發展。
李昇(左)
1. 關鍵發現
- 數字化成熟度較高的企業可以獲得更大利益,并在發展速度上超越競爭對手
- 企業必須贏得客戶的信任方能生存(數據丟失導致信任缺失,客戶的忠誠度和企業發展就會面臨威脅)
- 企業決策者需要將客戶數據視為關鍵的業務資產(數字化成熟度較高的企業會將體驗和安全放在同等重要的位置)
- 數字化體驗和安全的交叉將定義未來經濟
當企業失去用戶的信任,用戶將不再樂于分享數據,這將導致企業喪失掉更多的商業機會。
對于“因為安全性缺乏導致數據泄露會給企業帶來哪些影響”這個問題,超過半數的受調查者認為這將有損品牌聲譽(64%)、降低客戶的信任(61%)和企業營收的直接損失(53%);剩下的情況還包括與客戶的糾紛(45%)、內部整治的成本(41%)和更難以吸引新客戶(41%)。
2. 企業數字化成熟度的評估與挑戰
報告從安全性與信任、通用技術、云技術、數字化體驗和策略5個方面、31個細化指標來衡量企業的數字化成熟度,并將企業的數字化程度由弱到強分為懷疑、接受、擁抱/配合、差異化競爭四個階段。
企業在數字化轉型過程中所遇到的主要三點挑戰:
- 數字化體驗和安全的平衡
- 能夠認識到用戶數據泄露對企業的負面影響,但是不知如何避免
- 企業會在數字化轉型過程中優化體驗的速度、可靠性和安全,但是無法主動得知改進效果,而需要被動依賴客戶的反饋
處于不同成熟度企業所面臨的前三大挑戰
數字化成熟度越高的企業,越能理解安全威脅的重要性,并通過主動的實時監測來提升用戶體驗。
這不僅是企業不斷提升自身數字化成熟度的方向,也是Akamai自身云交付平臺能力增強的方向。
今年Akamai的新春發布會上,又有哪些安全能力得到提升?
二、Akamai云交付平臺的安全能力增強
就Akamai此次2018春季發布能力提升中有關安全的內容,安全牛選擇了4點做了整理和記錄。
1. DDoS緩解只是保住大門
DDoS攻擊的防護對于將業務遷移至云端的企業是剛需,業務連續性的保障,以及越來越低的攻擊成本,都讓企業所面臨威脅不斷加重。DDoS緩解能力的提升,也是此次Akamai新春發布在云安全領域的重要提升點。
據了解,Akamai正在向其云端的安全清洗中心部署更多的功能,以抵御不斷增長的DDoS攻擊。同時,Akamai還可以通過TLS 1.3為任何站點提供HTTPS安全瀏覽的支持,并增強了對IPv6和GRE隧道(大于1Gbps)的支持。
Akamai以CDN起家,2017年的真實流量峰值每秒可達60TB,如此大量的帶寬資源儲備,無疑使Akamai在DDoS防護上有更多先天的優勢。對于DDoS攻擊與防護的成本失衡的現狀,有的廠商甚至提出了“免費DDoS防護”的口號。對此,李昇表示,安全防護能力不會是免費的,但企業也不用擔心有過高的DDoS防護成本,Akamai現在只按照清洗后的干凈流量收費。對于攻擊者而言,DDoS等粗暴型的攻擊只是撞門。但攻擊者并不傻,只會撞門意義是不大的,之上還有更智能的攻擊,比如說針對API的攻擊和爬蟲等,他們的目標是往往是企業更有價值的數據,如賬戶憑證、客戶信息等。安全防護工作的重點也不應只是DDoS,應該有更完整的3-7層的防護能力。
2. 爬蟲重要的不是阻斷是管理
爬蟲管理是此次發布第二個吸引人的點。在今年2月發布的《2017年第四季度互聯網發展狀況安全報告》中,Akamai表示其每秒可監控超2750次爬蟲請求,每月超過7.3萬億次,這些來自爬蟲的請求占整個平臺純網絡流量的30%以上。雖然大部分爬蟲活動是合法的,但越來越多的網絡犯罪正開始將爬蟲用于惡意用途,如結合僵尸網絡來盜取登錄憑證和進行撞庫。
爬蟲都是相對正常的訪問請求,不大的流量,結合不斷變化的IP,對企業的風險非常高。
Akamai認為,應對爬蟲,重點不在于阻斷,而是管理。這就要求有對爬蟲好壞,以及與真實人類的合法訪問請求能夠清晰的區分開來。
結合“特征值識別+行為分析+人工分析”的方式,Akamai可實時部署新的安全策略,對不同的爬蟲類型選擇不同的方式進行處理,以應對不斷變化的爬蟲。此次,Akamai在其爬蟲管理器(Bot Manager)添加了用于保護移動端應用的SDK模塊和API,同時還包括了對SIEM工具集成的支持。
3. 利用DNS數據、零信任架構防范內部威脅
Akamai在去年11月宣布完成對Nominum的現金收購,利用其在DNS阻斷和過濾的深厚積累,并結合Akamai自身的企業威脅防護者(ETP)平臺,抵御惡意軟件,釣魚攻擊,數據滲漏等安全威脅。
據了解,Akamai的安全研究部門,通過在海量的DNS數據中(每天1.7萬億次DNS查詢)檢測攻擊信號,驗證一共攻擊類型,并檢測未知的惡意活動。AKamai的ETP平臺,則結合云端安全情報能力,將由DNS查詢獲得的重要威脅情報,作為企業安全防護中重要的一層能力補充,來實現惡意C2服務器的連接和企業內部已感染設備間通信的阻斷,并識別DNS數據滲漏攻擊。
在企業應用程序的安全訪問方面,傳統SSL VPN等安全訪問網關的方式,設置和使用均較為繁雜,而基于零信任架構,企業對云端應用程序的訪問可以更加靈活,降低受影響的安全攻擊范圍。
4. 國內外客戶在安全預算和能力實現區別
對于Akamai能看到國內外用戶在“安全預算”和“能力實現”兩方面的差別,李昇表示在安全成本方面,海外客戶的企業CSO/CISO往往有獨立的安全預算可以支配(和IT預算是兩套機制),雖然IT預算在不斷緊縮,但在安全方面外國企業往往樂于有更多的投入。在能力實現方面,國外更重視專業的人做專業的事情,所以云端的和托管使的安全服務更易被采納,由于廠商的威脅視野更加廣泛,所以防護效果也更好;但國內更多的還停留在購買安全硬件設備,用戶自主管理和運營的階段,安全策略往往難以持續更新,難以應對不斷變化的安全威脅。
安全應該是一個服務,攻擊在不斷變化,安全不應固守幾臺設備。這不是純粹的技術問題,同時也要利用在全網的威脅視野,縮短攻擊發現的時間窗。