Akamai曾作为全球最大内容分发网络(CDN)服务提供商为业界熟知,在全球130多个国家和地区,部署了超过24万台服务器,拥有广泛且高度分散的CDN网络。现在,Akamai将自身重新定义为全球最大规模且值得信赖的云交付平台厂商,帮助企业在不损失数字化体验的前提下,提升企业在云端、网站、移动端App的安全性。
Akamai每年会进行两次平台级的能力更新。在今年春季发布会上,Akamai分享了去年和Forrester合作的报告——“企业数字化体验和安全的交叉”的主要观点,并介绍了今年在“网络&移动性能、云安全、企业安全(零信任架构)、开发运维(DevOps)、和OTT体验”这五个方面的能力增强。
我们先来看看Forrester与Akamai合作的报告有哪些值得关注的内容?
一、Forrester报告:数字化+安全——定义未来经济
咨询机构Forrester代表Akamai在2017年调查了350名企业IT高管,调查结果显示,数字化转型越成熟的企业,越能更好的平衡技术创新所带来的全新数字化体验与安全性间的关系。
Akamai区域副总裁暨大中国区总经理李昇先生向记者表示,从调查结果来看,这是一个客户的时代,企业需要更好的平衡效益,以及用户对隐私和安全性的要求。即使在实际情况中,这两点在一定程度上是对立的。因为企业只有得到客户的的信任才能继续生存和发展。
李昇(左)
1. 关键发现
当企业失去用户的信任,用户将不再乐于分享数据,这将导致企业丧失掉更多的商业机会。
对于“因为安全性缺乏导致数据泄露会给企业带来哪些影响”这个问题,超过半数的受调查者认为这将有损品牌声誉(64%)、降低客户的信任(61%)和企业营收的直接损失(53%);剩下的情况还包括与客户的纠纷(45%)、内部整治的成本(41%)和更难以吸引新客户(41%)。
2. 企业数字化成熟度的评估与挑战
报告从安全性与信任、通用技术、云技术、数字化体验和策略5个方面、31个细化指标来衡量企业的数字化成熟度,并将企业的数字化程度由弱到强分为怀疑、接受、拥抱/配合、差异化竞争四个阶段。
企业在数字化转型过程中所遇到的主要三点挑战:
处于不同成熟度企业所面临的前三大挑战
数字化成熟度越高的企业,越能理解安全威胁的重要性,并通过主动的实时监测来提升用户体验。
这不仅是企业不断提升自身数字化成熟度的方向,也是Akamai自身云交付平台能力增强的方向。
今年Akamai的新春发布会上,又有哪些安全能力得到提升?
二、Akamai云交付平台的安全能力增强
就Akamai此次2018春季发布能力提升中有关安全的内容,安全牛选择了4点做了整理和记录。
1. DDoS缓解只是保住大门
DDoS攻击的防护对于将业务迁移至云端的企业是刚需,业务连续性的保障,以及越来越低的攻击成本,都让企业所面临威胁不断加重。DDoS缓解能力的提升,也是此次Akamai新春发布在云安全领域的重要提升点。
据了解,Akamai正在向其云端的安全清洗中心部署更多的功能,以抵御不断增长的DDoS攻击。同时,Akamai还可以通过TLS 1.3为任何站点提供HTTPS安全浏览的支持,并增强了对IPv6和GRE隧道(大于1Gbps)的支持。
Akamai以CDN起家,2017年的真实流量峰值每秒可达60TB,如此大量的带宽资源储备,无疑使Akamai在DDoS防护上有更多先天的优势。对于DDoS攻击与防护的成本失衡的现状,有的厂商甚至提出了“免费DDoS防护”的口号。对此,李昇表示,安全防护能力不会是免费的,但企业也不用担心有过高的DDoS防护成本,Akamai现在只按照清洗后的干净流量收费。对于攻击者而言,DDoS等粗暴型的攻击只是撞门。但攻击者并不傻,只会撞门意义是不大的,之上还有更智能的攻击,比如说针对API的攻击和爬虫等,他们的目标是往往是企业更有价值的数据,如账户凭证、客户信息等。安全防护工作的重点也不应只是DDoS,应该有更完整的3-7层的防护能力。
2. 爬虫重要的不是阻断是管理
爬虫管理是此次发布第二个吸引人的点。在今年2月发布的《2017年第四季度互联网发展状况安全报告》中,Akamai表示其每秒可监控超2750次爬虫请求,每月超过7.3万亿次,这些来自爬虫的请求占整个平台纯网络流量的30%以上。虽然大部分爬虫活动是合法的,但越来越多的网络犯罪正开始将爬虫用于恶意用途,如结合僵尸网络来盗取登录凭证和进行撞库。
爬虫都是相对正常的访问请求,不大的流量,结合不断变化的IP,对企业的风险非常高。
Akamai认为,应对爬虫,重点不在于阻断,而是管理。这就要求有对爬虫好坏,以及与真实人类的合法访问请求能够清晰的区分开来。
结合“特征值识别+行为分析+人工分析”的方式,Akamai可实时部署新的安全策略,对不同的爬虫类型选择不同的方式进行处理,以应对不断变化的爬虫。此次,Akamai在其爬虫管理器(Bot Manager)添加了用于保护移动端应用的SDK模块和API,同时还包括了对SIEM工具集成的支持。
3. 利用DNS数据、零信任架构防范内部威胁
Akamai在去年11月宣布完成对Nominum的现金收购,利用其在DNS阻断和过滤的深厚积累,并结合Akamai自身的企业威胁防护者(ETP)平台,抵御恶意软件,钓鱼攻击,数据渗漏等安全威胁。
据了解,Akamai的安全研究部门,通过在海量的DNS数据中(每天1.7万亿次DNS查询)检测攻击信号,验证一共攻击类型,并检测未知的恶意活动。AKamai的ETP平台,则结合云端安全情报能力,将由DNS查询获得的重要威胁情报,作为企业安全防护中重要的一层能力补充,来实现恶意C2服务器的连接和企业内部已感染设备间通信的阻断,并识别DNS数据渗漏攻击。
在企业应用程序的安全访问方面,传统SSL VPN等安全访问网关的方式,设置和使用均较为繁杂,而基于零信任架构,企业对云端应用程序的访问可以更加灵活,降低受影响的安全攻击范围。
4. 国内外客户在安全预算和能力实现区别
对于Akamai能看到国内外用户在“安全预算”和“能力实现”两方面的差别,李昇表示在安全成本方面,海外客户的企业CSO/CISO往往有独立的安全预算可以支配(和IT预算是两套机制),虽然IT预算在不断紧缩,但在安全方面外国企业往往乐于有更多的投入。在能力实现方面,国外更重视专业的人做专业的事情,所以云端的和托管使的安全服务更易被采纳,由于厂商的威胁视野更加广泛,所以防护效果也更好;但国内更多的还停留在购买安全硬件设备,用户自主管理和运营的阶段,安全策略往往难以持续更新,难以应对不断变化的安全威胁。
安全应该是一个服务,攻击在不断变化,安全不应固守几台设备。这不是纯粹的技术问题,同时也要利用在全网的威胁视野,缩短攻击发现的时间窗。