出海不再是一场赌博：借助 Akamai 云服务，安全地拓展全球市场 原创

企业出海，挣钱嘛，不寒碜。但出海能安全地把钱挣了吗？真不一定！

在这个数字化的时代，企业出海同样需要借助不同平台、不同系统，构建出不同功能的网络业务应用系统，来满足出海业务的各种需求。然而这些网络业务应用，需要利用各种开源或第三方应用组件进行搭建。令人遗憾的是，目前很少有企业能对此类应用组件安全提供保证。相对而言我们国内具备着比较优良的网络安全环境，就算是系统有漏洞，也没人敢摸，没人敢碰。但在海外，这个事还真不好说，毕竟人生地不熟的，说不定就有些人的刀已经饥渴难耐。谁也不想好不容易挣点钱，甚至还没挣钱，就让人给敲诈勒索，那么对于出海企业而言又该怎么办？

为企业提供另一种安全思路的Akamai

现在，阿卡迈技术公司（Akamai Technologies, Inc.，以下简称：Akamai）作为一个进入中国十几年，重点为中国各个行业中企业出海提供服务的云服务提供商，今年4月，Akamai通过收购Neosec，又为我们提供了一种新的网络安全防护手段——增强API防护的可视性。

近日Akamai 执行副总裁兼CTO Robert Blumofe、Akamai副总裁暨大中华区总经理李昇为我们介绍了这种API安全防护新思路：通过实时了解API使用情况，并在API被滥用的时候，能够对用户提出警报的API安全解决方案。通过这个API安全解决方案，Akamai的客户可以实时看到他们公司所拥有的这些API的使用情况，同时在API被滥用的时候能够对他们提出警报。

Akamai 执行副总裁兼CTO Robert Blumofe

如今，越来越多的系统、应用都需要用到第三方的“库”。很多情况下企业可能都不知道自己用了哪些第三方的软件，有时即使知道用了一些第三方的软件，也不知道这些软件是谁写的。Akamai有若干的产品能够帮助企业针对“第三方库”，提升他们对第三方“库”的可视性。

如果这种第三方的“库”是通过API接入的话，Akamai的API防护产品能够提供很好的防护。如果这种第三方的“库”是通过网页整合进来的，尤其是在客户端的这种JAVA脚本的话，Akamai的Page Integrity Manager产品能够提供相应的防护。

对此，Akamai副总裁暨大中华区总经理李昇用以前盛行的Log4j漏洞为我们进行了详细举例。

Akamai副总裁暨大中华区总经理 李昇

2021年12月，一个“核弹级”漏洞（Log4Shell ）被爆出，惊扰了全世界的企业安全人员的美梦。Log4j漏洞利用成本极低，可以直接任意代码执行，并接管目标服务器，它的潜在危害严重性和影响面可以说是2021年之最，在短时间内就让全球近半数的企业网络遭遇了攻击，并在互联网上迅猛扩散。

对此，Akamai 威胁研究实验室利用自身对于全球海量数据中心的监测能力，从全球 200 多个不同行业、不同规模的数据中心收集了相关数据，评估了Log4j 漏洞给企业带来的实际风险并给出防御建议。

（编者注：从上面这个案例也可以看出国内外网络安全的差异，这个漏洞是国内某云厂商安全部门首先发现，也没当什么事情就提交出去了，在国内的影响还真不是很大，但传到海外后，这个“核弹”就爆发了……）

API防护 为每个微服务上一把“锁”

温故而知新，Robert Blumofe更进一步地分析出：当我们大量使用开源、第三方应用插件的时候，需要让每一个使用者都清楚地了解，使用开源的风险在哪里，这是不现实的。这时你需要建立一个安全的隔离分段，一旦当这样的风险发生的时候，你可以最大程度地限制其影响。

如今，API的使用非常普遍，不仅仅是在后端、后台来使用。同时，包括客户端的应用与服务器之间的通信都使用的是API，所以API现在是无处不在。保证API的安全，首要的一点还是强调的可视性。企业作为防御方、防守方，必须知道我们有哪些API、它们是怎么样在被使用、什么时候被滥用、什么时候被攻击，这些都是需要我们时刻掌握的情况。

在这种情况下，采用“微分段”的工具对API接口进行防护就非常有帮助了。它的基本概念就是把每一个微服务或者服务端，通过API接口像一个小的房间一样隔离，只允许最小化所被允许的访问。这样的话，一旦有问题发生、对于企业造成的影响也是很小的，不会大范围地造成瘫痪性的影响。

在“微分段”之前，用户的访问只有大楼门上的一把锁，一旦进到这个大楼里面，实际上就可以畅通无阻了。“微分段”实际上就是给大楼里每一个房间都上一把锁。只有你确实需要进入某个特定房间的时候，你才能够开门，否则就进不去。

“分段”这个概念不是一个全新的概念，但是如果采用传统的防火墙技术实际上是很难实施和实现的。Akamai Guardicore Segmentation就是用一种全新的方法，对每个应用接口的API用Agents的方式实现更经济的管理控制。

以金融科技领导者与 Akamai 的合作为例，Finastra 是全球著名的金融软件应用程序及在线市场服务提供商。自 2017 年以来，其旗下的开放式创新平台 FusionFabric.cloud 推动银行即服务 (BaaS) 和嵌入式金融取得了强劲的发展。为了引领金融科技创新，Finastra 以提高核心竞争力作为其研发预算目标。Finastra 同 Akamai 强强联手为其应用程序和 API 保驾护航，这些应用程序和 API 专用于在联系日益紧密的世界中提供金融服务。

Finastra 客户技术及运营首席信息官 Russ Soper表示： “FusionFabric.cloud 为 Finastra 成为全球领先的 BaaS 解决方案供应商奠定了坚实基础。我们的业务宗旨是为企业提供基于云的应用程序及服务，让企业之间实现互联互通。实现这些互联的关键在于 API，因此为了保证服务不间断运行，我们需确保这些 API 安全无虞。” Soper 期望同具有大规模运营方面的成功经验、财务状况良好、富有领导力并且提供完备解决方案组合的企业建立合作关系。有 Akamai 相助，Finastra 在分布式拒绝服务攻击支持、Web 应用程序、API 安全以及边缘 DNS 方面实现了单点联系。

Soper 表示， “在安全方面我们从不固步自封。我们力求不断改进，随着当今世界之间的联系日益紧密，同 Akamai 等行业佼佼者建立合作关系有助于我们提供安全牢靠的服务。同内部自行研发相比，有 Akamai 相助，我们可以更快、并以更低成本及风险获得最新技术。”

如今，不仅限于API安全，Akamai可以利用全球分布广泛的云计算、安全性和内容交付平台Akamai Connected Cloud，为出海企业提供从基础设施、基础架构到业务应用的各类出海服务，并为之提供全面的防欺诈、防勒索应用安全防护。

最后，借用Robert Blumofe的一句话来做一个小结：

“随着中国品牌在全球的影响力越来越大，我们的安全防护如果只限于大中华区域其实也是不足够的。也就是说，我们的这种防御手段要扩展、要覆盖到攻击方所可能身处的任何区域。中国的品牌走出去、中国品牌国际化的同时，我们的防护工作、防御工作也要走出去，也要全球化。”