關(guān)注企業(yè)內(nèi)部安全，Akamai云安全大咖細(xì)說“微隔離”技術(shù)

如果將企業(yè)視為生命有機(jī)體，自外而內(nèi)的攻擊入侵是一重威脅，而自內(nèi)而外的“免疫系統(tǒng)”出現(xiàn)缺陷，則會(huì)讓組織的IT資產(chǎn)內(nèi)生“病灶”，面臨更大的風(fēng)險(xiǎn)隱患?；仡機(jī)OVID特殊時(shí)期的分區(qū)域隔離，即是更精細(xì)化的衛(wèi)生應(yīng)急機(jī)制，而在網(wǎng)絡(luò)安全領(lǐng)域，體現(xiàn)在微隔離（微分段）安全應(yīng)對(duì)策略。

Akamai“蜀”智出海，從“蓉”上云主題分布式云戰(zhàn)略高峰論壇上，Akamai大中國(guó)區(qū)企業(yè)安全產(chǎn)品專家文曉江先生等大咖，結(jié)合當(dāng)下風(fēng)險(xiǎn)飆升的安全趨勢(shì)，以及出海合規(guī)新動(dòng)向，深入淺出地介紹了企業(yè)CISO構(gòu)建微隔離防線的安全技術(shù)要點(diǎn)。

合規(guī)導(dǎo)向，是目標(biāo)

北京元合律師事務(wù)所合規(guī)與爭(zhēng)議解決高級(jí)顧問朱文郁先生指出，從出海行業(yè)的縱向賽道看，電商領(lǐng)域中，本地網(wǎng)絡(luò)安全、數(shù)據(jù)信息保護(hù)、平臺(tái)商戶風(fēng)險(xiǎn)管理等方面的合規(guī)性建設(shè)，正與Akamai全面掌控API安全狀況、防范數(shù)據(jù)泄露的安全思路，保持高度對(duì)齊、統(tǒng)一。

而在出海產(chǎn)業(yè)的另一大主力軍——游戲領(lǐng)域中，不僅要關(guān)注平臺(tái)的社交屬性，而且也要重視內(nèi)容審核，對(duì)游戲用戶中未成年人群體予以保護(hù)，對(duì)不同的內(nèi)容類別采取分級(jí)政策。此時(shí)，就需要企業(yè)去解決一些前端工作，建立良好、安全的技術(shù)壁壘和機(jī)制。出海合規(guī)對(duì)策上，各個(gè)國(guó)家隱性或顯性的合規(guī)標(biāo)準(zhǔn)，都會(huì)有要求做隔離。相比傳統(tǒng)防火墻，用軟件定義的微隔離方式，會(huì)更簡(jiǎn)單、更高效。

安全環(huán)境，在惡化

Akamai安全研究團(tuán)隊(duì)通過調(diào)研發(fā)現(xiàn)，過去一年，Web應(yīng)用程序中存在高達(dá)1/10的嚴(yán)重漏洞比例，Web應(yīng)用程序和API攻擊數(shù)量增幅2.5倍。每4次網(wǎng)絡(luò)攻擊中，就有1次涉及勒索軟件攻擊。其中，亞太地區(qū)的勒索軟件受害者數(shù)量飆升204%體量。

應(yīng)對(duì)日益復(fù)雜的攻擊形態(tài)，勒索團(tuán)伙的攻擊手段，可謂是逐步滲透、層層深入。Akamai北亞區(qū)解決方案技術(shù)總監(jiān)劉燁先生指出，勒索攻擊鏈中，黑客先行通過釣魚攻擊或零日漏洞入侵企業(yè)內(nèi)網(wǎng)。較為靈活的是，黑客滲透至企業(yè)內(nèi)網(wǎng)后，第一時(shí)間若未得手核心數(shù)據(jù)，后續(xù)會(huì)橫向移動(dòng)，定位更有價(jià)值的數(shù)據(jù)和業(yè)務(wù)，再發(fā)起加密與勒索。

由內(nèi)而外，更安全

面對(duì)勒索軟件攻擊等風(fēng)險(xiǎn)，自第一臺(tái)防火墻問世以來(lái)，網(wǎng)絡(luò)安全一直在做訪問控制。微隔離，便屬于一種分布式的訪問控制。零信任支持構(gòu)建具有一致性的控制中心，對(duì)全域IT體系里面的人員、設(shè)備，包括軟件代碼等訪問，都能實(shí)現(xiàn)可控與可跟蹤。

例如，近30年在數(shù)據(jù)中心內(nèi)部，安全從業(yè)者大部分時(shí)間都在“修籬笆”，把數(shù)據(jù)中心外面修的“籬笆”，一層一層越修越結(jié)實(shí)，一層一層做安全防護(hù)。但在數(shù)據(jù)中心內(nèi)部，基本上做得很少。而微隔離，更多聚焦的安全場(chǎng)景，是側(cè)重在防御方的內(nèi)部。

返璞歸真，零信任

分析不同行業(yè)頻出的網(wǎng)絡(luò)安全事件，并非每次都是黑客有多高明，多時(shí)可能是內(nèi)部無(wú)意識(shí)的風(fēng)險(xiǎn)操作。新手開發(fā)的代碼里，若是無(wú)心埋留有安全漏洞，便會(huì)給黑客留有可乘之機(jī)。因此企業(yè)內(nèi)部也要做訪問隔離，將安全保護(hù)武裝到更微觀的層面。

當(dāng)下的開發(fā)環(huán)境中，微服務(wù)化、API的調(diào)用越來(lái)越普遍的情況下，在企業(yè)IT資產(chǎn)外層“修籬笆”的方式已不適用。面對(duì)高難度的運(yùn)維布局與業(yè)務(wù)體系，內(nèi)部安全防護(hù)的兩難處境，在于如何實(shí)現(xiàn)訪問控制離散化處理，并實(shí)現(xiàn)一體化的集中式安全控制。Akamai Guardicore Segmentation微分段解決方案便能實(shí)現(xiàn)訪問控制離散化的效果，針對(duì)數(shù)據(jù)中心內(nèi)部部署靈活的網(wǎng)絡(luò)隔離，對(duì)公有云實(shí)現(xiàn)精細(xì)化的訪問控制。

基于標(biāo)簽，微隔離

在異常流量的可視化方面，面對(duì)云服務(wù)PaaS場(chǎng)景，Akamai可通過讀取云端日志，把日志訪問關(guān)系映射至全局地圖上。用戶可在一體化的界面中，全覽相關(guān)數(shù)字化資產(chǎn)。基于智能化標(biāo)簽，Akamai微隔離技術(shù)可對(duì)服務(wù)器進(jìn)行分組、分類，后續(xù)的安全策略控制也會(huì)以此分組為基準(zhǔn)。

Akamai Guardicore Segmentation微分段解決方案內(nèi)置AI功能，讀取流量模型后，會(huì)自動(dòng)幫用戶生成相應(yīng)的安全策略組訪問關(guān)系圖譜。更具洞察力的是，Akamai安全組的設(shè)定，可以寫到東西向流量的進(jìn)程一級(jí)，目前是業(yè)界更精細(xì)的設(shè)定能力。

若勒索病毒以零日漏洞的方式入侵到企業(yè)內(nèi)部，而外層防火墻、安全設(shè)備未檢測(cè)到，內(nèi)部的某臺(tái)服務(wù)器被植入病毒后，還會(huì)橫向擴(kuò)散、感染更多重要資產(chǎn)。若企業(yè)做足精細(xì)化顆粒度的訪問控制，將會(huì)如牢籠一般對(duì)單體感染的服務(wù)器進(jìn)行微隔離，徹底隔絕傳播的可能性。

功能多元，更易用

基本功能外，Akamai同步給用戶提供蜜罐功能，發(fā)現(xiàn)安全問題后，用戶可把異常流量導(dǎo)入蜜罐處理。通過蜜罐內(nèi)拍照能力，去看整個(gè)的活動(dòng)軌跡，并根據(jù)軌跡采取安全措施，有效抑制后續(xù)攻擊行為。另外，Akamai也會(huì)提供查詢工具的腳本，支持對(duì)內(nèi)部資產(chǎn)的梳理。比如，操作系統(tǒng)的版本、補(bǔ)丁情況，包括一些CVE漏洞，都可以進(jìn)行檢查。

同時(shí)，Akamai后臺(tái)擁有強(qiáng)大的情報(bào)庫(kù)，可收集到訪問關(guān)系日志，可通過前后關(guān)聯(lián)、訪問關(guān)系，利用情報(bào)庫(kù)的分析，去探知是否存在潛在安全風(fēng)險(xiǎn)。產(chǎn)品運(yùn)行一段時(shí)間以后，Akamai會(huì)給客戶提供PDF形式的報(bào)告，清晰展示洞見的風(fēng)險(xiǎn)與隱患以及相關(guān)圖表，便于企業(yè)運(yùn)維的負(fù)責(zé)人做安全匯報(bào)。

科幻電影《記憶裂痕》有句臺(tái)詞指出“當(dāng)人類能夠預(yù)知未來(lái)的時(shí)候，人類就沒有未來(lái)了”。文曉江先生以此闡釋，網(wǎng)絡(luò)安全領(lǐng)域也一樣，可能沒辦法絕對(duì)準(zhǔn)確地預(yù)知未來(lái)的具體安全形態(tài)。但在當(dāng)下，企業(yè)可以通過微隔離構(gòu)建精細(xì)化的內(nèi)部防線，深度完善不同環(huán)節(jié)的訪問控制，從根本上夯實(shí)守護(hù)企業(yè)IT資產(chǎn)的安全基礎(chǔ)，從容應(yīng)對(duì)AI時(shí)代與未來(lái)的風(fēng)險(xiǎn)挑戰(zhàn)。