“因为网络攻击来自于云、来自于互联网,所以企业的第一道防护必须也在互联网上实现。”Akamai区域副总裁暨大中华区总经理李昇日前在企业安全“新”技术峰会上言简意赅。
李昇所说的是事实,因为今天的企业已经没有可能不与外界通过互联网进行信息交互,因而“混合云”模式成为一种必然。借用一句网络安全业界大佬的说法就是——“国王走出了城堡”。因此在当今移动互联时代,“国王”要出来巡游,保镖的任务就变得很重——网络安全变成一个持续对抗的过程,任何一个点如果有疏漏,都有可能被黑客突破。
特别是5G时代即将来临,万物互联需要新的安全策略和新的安全技术方案,否则企业上云借助互联网步入发展的快车道,也会加大企业安全所面临的风险。企业到底该怎么做?或许Akamai的智能边缘和“零信任”网络安全会是一个很好的补充。
“零信任”网络
“在过去,很多网络应用是由下而上的防护,就是说使用TCP或者UDP层来建立网络中心进行防护。”Akamai企业安全产品资深总监Nick Hawkins在企业安全“新”技术峰会上解释说,“这种方法在传统有‘内外’之分的场景中还可以使用,但今天我们应用的设备、应用的程序在’云’环境中是无处不在的,同时应用该设备的用户也是无处不在的。这时候,我们的防护措施也需要由传统的内部防护和外部防护这样两层防护,发展为无处不在的防护。”
Akamai企业安全产品资深总监Nick Hawkins
换句话说,传统的内网、外网是有物理区隔的,也由此产生了内网、外网安全等级的不同。而今在移动互联时代,内网经常借由VPN等工具方便用户获得随时随地的访问权限,因此绝大多数内网的物理隔离已经不复存在——这就是本文开篇所提到的“国王外出巡游”的比喻。
这种情况下,企业在新的应用环境中设计防护顶层架构或者原则就是“零信任”网络的实施——在“零信任”网络中,不再有可信的设备、接口和用户,所有的流量均不可信。
事实上,今天技术高超的APT攻击者总是有办法进入企业网络,而企业内部的员工也越来越不可避免地、有意或无意地对信息安全造成损害。
“对于‘零信任’架构,我觉得有三大原则是适用的。”Nick Hawkins认为,“第一,我们要一直假设所有网络均不安全;第二,我们不再允许或不再提供基于地点的任何优势,即在公司内部的网络上访问公司信息和在公司外部网络访问是一样的;第三,所有的通讯都需要经过身份验证,访问者被授权后才能进行通讯。”
换句话说,基于这三点重要原则,“零信任”网络对应用程序的防护措施已经从“自下而上”变成“自上而下”,“身份”是用户唯一的验证方式,用户获得成功的授权才能进入访问。“‘零信任’和我们传统的VPN连接相比是一个巨大的转折——如果用户和应用程序无处不在,那么企业就需要一个‘边缘保护’平台来更好地执行‘零信任’措施。”Nick Hawkins解释说。
5G边缘防护
事实上,由于Akamai是全球最大的CDN(内容交付网络)服务商,其在20年的发展历程中分散化地在全球部署了近24万台服务器跨越了近1600个运营商的ISP网络,分布在139个国家和地区,每天分发超过50TB/秒的Web流量,因此Akamai具备天然的边缘优势。
举个例子,视频流量导致互联网流量近百倍的增长,这使得互联网骨干网中心的基础设施变得更加拥堵。而作为解决办法,只有边缘才能为视频提供更大的冗余处理能力,让人们在访问视频的时候,避免卡顿。事实上,Akamai在视频领域一直都是全球最大的在线视频分发服务商。
也正因CDN服务商的分布式能力,让它们成为云安全领域的重要一员——譬如DDoS这样的“臭名昭著”的分布式流量汇聚攻击,企业只有在离散的互联网边缘去阻挡,才能避免其汇聚形成大规模集中攻击,才能对自身网络进行安全防护。
对于“零信任”网络的构建,也是同样——因为越来越多的公司采用混合云战略,网络防护从“城堡内”扩展到外围和边缘,这时候,通过“零信任”网络架构,即多个并行的交换核心构建的可安全实现网络分布式和分段安全防护的同时,也能达到合规标准来集中管理网络。
“边缘安全的重要性会日益凸显,特别是在即将到来的5G时代。5G会带来大量的物联网设备接入和带宽提高,针对于网络连接设备进行攻击的威胁也就随之增大。”Nick Hawkins认为,Akamai会成为唯一一个第一梯队的边缘安全平台来保障企业的网络安全防护战略。
换言之,5G使得整个互联网开始成为真正意义上的物联网,互联网的范围和容量等级都得到大幅提升。可以预见的是,网络安全固定的防御边界已经不复存在,攻击范围也已扩展到更广泛的领域。与此同时,攻击规模也在不断扩大,且目标愈加明确。
据悉,2019年3月,Akamai宣布对其智能边缘平台做出重大改进,扩展了自适应安全功能组合,旨在抢占不断扩大的攻击面并简化安全控制。
智能安全
“如今,在Akamai的‘云防护’整体解决方案中,人工智能和机器学习已被大量运用。当前很多的DDoS攻击越来越像人的行为,这体型出网络攻击变得更加难区分,因此我们必须要通过更多的维度来进行甄别。”李昇认为,安全防护和黑客之间就是一个猫抓老鼠的游戏,这种无处不在的防护其实是一种管理,而非简单粗暴的拒绝。
Akamai区域副总裁暨大中华区总经理李昇
实际上,即便是爬虫也有好坏之分,比如搜索引擎就是好爬虫。而企业内部也有中性爬虫,有时,企业甚至会利用这些中性爬虫把自己的部分非敏感内容爬去来进行扩散宣传。恶意爬虫希望隐藏在这些好或中性的爬虫中或者模仿人类行为而不被发现,如果企业简单粗暴地拒绝爬虫,那么攻击者就知道企业已经发现自己、进而更换方式继续攻击。从这层意义上讲,爬虫的防护就是一种安全管理。
据李昇介绍,Akamai对每个IP地址均设有评分系统,即根据每个IP地址以前在互联网上的行为,来准确判断该地址是否正常。企业可通过评分系统来判断地址的危害级别。举例而言,一个事先设定好的爬虫程序可能是非常死板地鼠标移动轨迹或者键盘输入节奏,位置也很固定。
而对于更高级别的爬虫,安全厂商需要设定更多的维度,通过人工智能和机器学习来提高识别率和准确性。“更好的人工智能和安全技术需要有足够的数据量进行支撑。”李昇表示,Akamai每天分发超过50 TB/秒的Web流量、具备了天然优势,可以帮助企业从数据源头去分析流量来源。此外,Akamai先进的防护策略和管家式服务形成一整套从底层到应用层的高可扩展性安全措施,能够帮助企业在互联网的第一道防线上进行有效防护。
例如,截至去年底,如今基于原生应用程序的API流量已经占据全网流量的83%,但API流量的攻击方式与传统攻击方式不同。据了解,Akamai的智能边缘安全平台不仅支持API流量自动保护和API网关解决方案中的高级节流功能,还支持Web应用防火墙上的新攻击组,可以保护桌面系统的防火墙、HTTP以及多个设备API的端口。
面对今天的网络安全防护形势,企业不仅要对自身业务网络进行防护,还需在“云”上部署边缘防护战略——只有这样一个防护战略组合才能应对互联网上的大范围、大批量的攻击。而Akamai的价值就在于帮助企业扩展安全基础架构、利用边缘和高级安全防御应对云端安全挑战的同时,还能帮助企业提供更接近用户的优质数字化体验。
