關(guān)注企業(yè)內(nèi)部安全，Akamai云安全大咖細說“微隔離”技術(shù)

如果將企業(yè)視為生命有機體，自外而內(nèi)的攻擊入侵是一重威脅，而自內(nèi)而外的“免疫系統(tǒng)”出現(xiàn)缺陷，則會讓組織的IT資產(chǎn)內(nèi)生“病灶”，面臨更大的風險隱患?；仡機OVID特殊時期的分區(qū)域隔離，即是更精細化的衛(wèi)生應(yīng)急機制，而在網(wǎng)絡(luò)安全領(lǐng)域，體現(xiàn)在微隔離（微分段）安全應(yīng)對策略。

Akamai“蜀”智出海，從“蓉”上云主題分布式云戰(zhàn)略高峰論壇上，Akamai大中國區(qū)企業(yè)安全產(chǎn)品專家文曉江先生等大咖，結(jié)合當下風險飆升的安全趨勢，以及出海合規(guī)新動向，深入淺出地介紹了企業(yè)CISO構(gòu)建微隔離防線的安全技術(shù)要點。

合規(guī)導向，是目標

北京元合律師事務(wù)所合規(guī)與爭議解決高級顧問朱文郁先生指出，從出海行業(yè)的縱向賽道看，電商領(lǐng)域中，本地網(wǎng)絡(luò)安全、數(shù)據(jù)信息保護、平臺商戶風險管理等方面的合規(guī)性建設(shè)，正與Akamai全面掌控API安全狀況、防范數(shù)據(jù)泄露的安全思路，保持高度對齊、統(tǒng)一。

而在出海產(chǎn)業(yè)的另一大主力軍——游戲領(lǐng)域中，不僅要關(guān)注平臺的社交屬性，而且也要重視內(nèi)容審核，對游戲用戶中未成年人群體予以保護，對不同的內(nèi)容類別采取分級政策。此時，就需要企業(yè)去解決一些前端工作，建立良好、安全的技術(shù)壁壘和機制。出海合規(guī)對策上，各個國家隱性或顯性的合規(guī)標準，都會有要求做隔離。相比傳統(tǒng)防火墻，用軟件定義的微隔離方式，會更簡單、更高效。

安全環(huán)境，在惡化

Akamai安全研究團隊通過調(diào)研發(fā)現(xiàn)，過去一年，Web應(yīng)用程序中存在高達1/10的嚴重漏洞比例，Web應(yīng)用程序和API攻擊數(shù)量增幅2.5倍。每4次網(wǎng)絡(luò)攻擊中，就有1次涉及勒索軟件攻擊。其中，亞太地區(qū)的勒索軟件受害者數(shù)量飆升204%體量。

應(yīng)對日益復雜的攻擊形態(tài)，勒索團伙的攻擊手段，可謂是逐步滲透、層層深入。Akamai北亞區(qū)解決方案技術(shù)總監(jiān)劉燁先生指出，勒索攻擊鏈中，黑客先行通過釣魚攻擊或零日漏洞入侵企業(yè)內(nèi)網(wǎng)。較為靈活的是，黑客滲透至企業(yè)內(nèi)網(wǎng)后，第一時間若未得手核心數(shù)據(jù)，后續(xù)會橫向移動，定位更有價值的數(shù)據(jù)和業(yè)務(wù)，再發(fā)起加密與勒索。

由內(nèi)而外，更安全

面對勒索軟件攻擊等風險，自第一臺防火墻問世以來，網(wǎng)絡(luò)安全一直在做訪問控制。微隔離，便屬于一種分布式的訪問控制。零信任支持構(gòu)建具有一致性的控制中心，對全域IT體系里面的人員、設(shè)備，包括軟件代碼等訪問，都能實現(xiàn)可控與可跟蹤。

例如，近30年在數(shù)據(jù)中心內(nèi)部，安全從業(yè)者大部分時間都在“修籬笆”，把數(shù)據(jù)中心外面修的“籬笆”，一層一層越修越結(jié)實，一層一層做安全防護。但在數(shù)據(jù)中心內(nèi)部，基本上做得很少。而微隔離，更多聚焦的安全場景，是側(cè)重在防御方的內(nèi)部。

返璞歸真，零信任

分析不同行業(yè)頻出的網(wǎng)絡(luò)安全事件，并非每次都是黑客有多高明，多時可能是內(nèi)部無意識的風險操作。新手開發(fā)的代碼里，若是無心埋留有安全漏洞，便會給黑客留有可乘之機。因此企業(yè)內(nèi)部也要做訪問隔離，將安全保護武裝到更微觀的層面。

當下的開發(fā)環(huán)境中，微服務(wù)化、API的調(diào)用越來越普遍的情況下，在企業(yè)IT資產(chǎn)外層“修籬笆”的方式已不適用。面對高難度的運維布局與業(yè)務(wù)體系，內(nèi)部安全防護的兩難處境，在于如何實現(xiàn)訪問控制離散化處理，并實現(xiàn)一體化的集中式安全控制。Akamai Guardicore Segmentation微分段解決方案便能實現(xiàn)訪問控制離散化的效果，針對數(shù)據(jù)中心內(nèi)部部署靈活的網(wǎng)絡(luò)隔離，對公有云實現(xiàn)精細化的訪問控制。

基于標簽，微隔離

在異常流量的可視化方面，面對云服務(wù)PaaS場景，Akamai可通過讀取云端日志，把日志訪問關(guān)系映射至全局地圖上。用戶可在一體化的界面中，全覽相關(guān)數(shù)字化資產(chǎn)?；谥悄芑瘶撕?，Akamai微隔離技術(shù)可對服務(wù)器進行分組、分類，后續(xù)的安全策略控制也會以此分組為基準。

Akamai Guardicore Segmentation微分段解決方案內(nèi)置AI功能，讀取流量模型后，會自動幫用戶生成相應(yīng)的安全策略組訪問關(guān)系圖譜。更具洞察力的是，Akamai安全組的設(shè)定，可以寫到東西向流量的進程一級，目前是業(yè)界更精細的設(shè)定能力。

若勒索病毒以零日漏洞的方式入侵到企業(yè)內(nèi)部，而外層防火墻、安全設(shè)備未檢測到，內(nèi)部的某臺服務(wù)器被植入病毒后，還會橫向擴散、感染更多重要資產(chǎn)。若企業(yè)做足精細化顆粒度的訪問控制，將會如牢籠一般對單體感染的服務(wù)器進行微隔離，徹底隔絕傳播的可能性。

功能多元，更易用

基本功能外，Akamai同步給用戶提供蜜罐功能，發(fā)現(xiàn)安全問題后，用戶可把異常流量導入蜜罐處理。通過蜜罐內(nèi)拍照能力，去看整個的活動軌跡，并根據(jù)軌跡采取安全措施，有效抑制后續(xù)攻擊行為。另外，Akamai也會提供查詢工具的腳本，支持對內(nèi)部資產(chǎn)的梳理。比如，操作系統(tǒng)的版本、補丁情況，包括一些CVE漏洞，都可以進行檢查。

同時，Akamai后臺擁有強大的情報庫，可收集到訪問關(guān)系日志，可通過前后關(guān)聯(lián)、訪問關(guān)系，利用情報庫的分析，去探知是否存在潛在安全風險。產(chǎn)品運行一段時間以后，Akamai會給客戶提供PDF形式的報告，清晰展示洞見的風險與隱患以及相關(guān)圖表，便于企業(yè)運維的負責人做安全匯報。

科幻電影《記憶裂痕》有句臺詞指出“當人類能夠預知未來的時候，人類就沒有未來了”。文曉江先生以此闡釋，網(wǎng)絡(luò)安全領(lǐng)域也一樣，可能沒辦法絕對準確地預知未來的具體安全形態(tài)。但在當下，企業(yè)可以通過微隔離構(gòu)建精細化的內(nèi)部防線，深度完善不同環(huán)節(jié)的訪問控制，從根本上夯實守護企業(yè)IT資產(chǎn)的安全基礎(chǔ)，從容應(yīng)對AI時代與未來的風險挑戰(zhàn)。