企業出海,掙錢嘛,不寒磣。但出海能安全地把錢掙了嗎?真不一定!
在這個數字化的時代,企業出海同樣需要藉助不同平台、不同系統,構建出不同功能的網路業務應用系統,來滿足出海業務的各種需求。然而這些網路業務應用,需要利用各種開源或第三方應用組件進行搭建。令人遺憾的是,目前很少有企業能對此類應用組件安全提供保證。相對而言我們國內具備著比較優良的網路安全環境,就算是系統有漏洞,也沒人敢摸,沒人敢碰。但在海外,這個事還真不好說,畢竟人生地不熟的,說不定就有些人的刀已經饑渴難耐。誰也不想好不容易掙點錢,甚至還沒掙錢,就讓人給敲詐勒索,那麼對於出海企業而言又該怎麼辦?
為企業提供另一種安全思路的Akamai
現在,阿卡邁技術公司(Akamai Technologies, Inc.,以下簡稱:Akamai)作為一個進入中國十幾年,重點為中國各個行業中企業出海提供服務的雲服務提供商,今年4月,Akamai通過收購Neosec,又為我們提供了一種新的網路安全防護手段——增強API防護的可視性。
近日Akamai 執行副總裁兼CTO Robert Blumofe、Akamai副總裁暨大中華區總經理李昇為我們介紹了這種API安全防護新思路:通過實時了解API使用情況,並在API被濫用的時候,能夠對用戶提出警報的API安全解決方案。通過這個API安全解決方案,Akamai的客戶可以實時看到他們公司所擁有的這些API的使用情況,同時在API被濫用的時候能夠對他們提出警報。
Akamai 執行副總裁兼CTO Robert Blumofe
如今,越來越多的系統、應用都需要用到第三方的「庫」。很多情況下企業可能都不知道自己用了哪些第三方的軟體,有時即使知道用了一些第三方的軟體,也不知道這些軟體是誰寫的。Akamai有若干的產品能夠幫助企業針對「第三方庫」,提升他們對第三方「庫」的可視性。
如果這種第三方的「庫」是通過API接入的話,Akamai的API防護產品能夠提供很好的防護。如果這種第三方的「庫」是通過網頁整合進來的,尤其是在客戶端的這種JAVA腳本的話,Akamai的Page Integrity Manager產品能夠提供相應的防護。
對此,Akamai副總裁暨大中華區總經理李昇用以前盛行的Log4j漏洞為我們進行了詳細舉例。
Akamai副總裁暨大中華區總經理 李昇
2021年12月,一個「核彈級」漏洞(Log4Shell )被爆出,驚擾了全世界的企業安全人員的美夢。Log4j漏洞利用成本極低,可以直接任意代碼執行,並接管目標伺服器,它的潛在危害嚴重性和影響面可以說是2021年之最,在短時間內就讓全球近半數的企業網路遭遇了攻擊,並在網際網路上迅猛擴散。
對此,Akamai 威脅研究實驗室利用自身對於全球海量數據中心的監測能力,從全球 200 多個不同行業、不同規模的數據中心收集了相關數據,評估了Log4j 漏洞給企業帶來的實際風險並給出防禦建議。
(編者註:從上面這個案例也可以看出國內外網路安全的差異,這個漏洞是國內某雲廠商安全部門首先發現,也沒當什麼事情就提交出去了,在國內的影響還真不是很大,但傳到海外後,這個「核彈」就爆發了……)
API防護 為每個微服務上一把「鎖」
溫故而知新,Robert Blumofe更進一步地分析出:當我們大量使用開源、第三方應用插件的時候,需要讓每一個使用者都清楚地了解,使用開源的風險在哪裡,這是不現實的。這時你需要建立一個安全的隔離分段,一旦當這樣的風險發生的時候,你可以最大程度地限制其影響。
如今,API的使用非常普遍,不僅僅是在後端、後台來使用。同時,包括客戶端的應用與伺服器之間的通信都使用的是API,所以API現在是無處不在。保證API的安全,首要的一點還是強調的可視性。企業作為防禦方、防守方,必須知道我們有哪些API、它們是怎麼樣在被使用、什麼時候被濫用、什麼時候被攻擊,這些都是需要我們時刻掌握的情況。
在這種情況下,採用「微分段」的工具對API接口進行防護就非常有幫助了。它的基本概念就是把每一個微服務或者服務端,通過API接口像一個小的房間一樣隔離,只允許最小化所被允許的訪問。這樣的話,一旦有問題發生、對於企業造成的影響也是很小的,不會大範圍地造成癱瘓性的影響。
在「微分段」之前,用戶的訪問只有大樓門上的一把鎖,一旦進到這個大樓裡面,實際上就可以暢通無阻了。「微分段」實際上就是給大樓里每一個房間都上一把鎖。只有你確實需要進入某個特定房間的時候,你才能夠開門,否則就進不去。
「分段」這個概念不是一個全新的概念,但是如果採用傳統的防火牆技術實際上是很難實施和實現的。Akamai Guardicore Segmentation就是用一種全新的方法,對每個應用接口的API用Agents的方式實現更經濟的管理控制。
以金融科技領導者與 Akamai 的合作為例,Finastra 是全球著名的金融軟體應用程序及在線市場服務提供商。自 2017 年以來,其旗下的開放式創新平台 FusionFabric.cloud 推動銀行即服務 (BaaS) 和嵌入式金融取得了強勁的發展。為了引領金融科技創新,Finastra 以提高核心競爭力作為其研發預算目標。Finastra 同 Akamai 強強聯手為其應用程序和 API 保駕護航,這些應用程序和 API 專用於在聯繫日益緊密的世界中提供金融服務。
Finastra 客戶技術及運營首席資訊官 Russ Soper表示: 「FusionFabric.cloud 為 Finastra 成為全球領先的 BaaS 解決方案供應商奠定了堅實基礎。我們的業務宗旨是為企業提供基於雲的應用程序及服務,讓企業之間實現互聯互通。實現這些互聯的關鍵在於 API,因此為了保證服務不間斷運行,我們需確保這些 API 安全無虞。」 Soper 期望同具有大規模運營方面的成功經驗、財務狀況良好、富有領導力並且提供完備解決方案組合的企業建立合作關係。有 Akamai 相助,Finastra 在分布式拒絕服務攻擊支持、Web 應用程序、API 安全以及邊緣 DNS 方面實現了單點聯繫。
Soper 表示, 「在安全方面我們從不固步自封。我們力求不斷改進,隨著當今世界之間的聯繫日益緊密,同 Akamai 等行業佼佼者建立合作關係有助於我們提供安全牢靠的服務。同內部自行研發相比,有 Akamai 相助,我們可以更快、並以更低成本及風險獲得最新技術。」
如今,不僅限於API安全,Akamai可以利用全球分布廣泛的雲計算、安全性和內容交付平台Akamai Connected Cloud,為出海企業提供從基礎設施、基礎架構到業務應用的各類出海服務,並為之提供全面的防欺詐、防勒索應用安全防護。
最後,借用Robert Blumofe的一句話來做一個小結:
「隨著中國品牌在全球的影響力越來越大,我們的安全防護如果只限於大中華區域其實也是不足夠的。也就是說,我們的這種防禦手段要擴展、要覆蓋到攻擊方所可能身處的任何區域。中國的品牌走出去、中國品牌國際化的同時,我們的防護工作、防禦工作也要走出去,也要全球化。」
