企业出海,挣钱嘛,不寒碜。但出海能安全地把钱挣了吗?真不一定!
在这个数字化的时代,企业出海同样需要借助不同平台、不同系统,构建出不同功能的网络业务应用系统,来满足出海业务的各种需求。然而这些网络业务应用,需要利用各种开源或第三方应用组件进行搭建。令人遗憾的是,目前很少有企业能对此类应用组件安全提供保证。相对而言我们国内具备着比较优良的网络安全环境,就算是系统有漏洞,也没人敢摸,没人敢碰。但在海外,这个事还真不好说,毕竟人生地不熟的,说不定就有些人的刀已经饥渴难耐。谁也不想好不容易挣点钱,甚至还没挣钱,就让人给敲诈勒索,那么对于出海企业而言又该怎么办?
为企业提供另一种安全思路的Akamai
现在,阿卡迈技术公司(Akamai Technologies, Inc.,以下简称:Akamai)作为一个进入中国十几年,重点为中国各个行业中企业出海提供服务的云服务提供商,今年4月,Akamai通过收购Neosec,又为我们提供了一种新的网络安全防护手段——增强API防护的可视性。
近日Akamai 执行副总裁兼CTO Robert Blumofe、Akamai副总裁暨大中华区总经理李昇为我们介绍了这种API安全防护新思路:通过实时了解API使用情况,并在API被滥用的时候,能够对用户提出警报的API安全解决方案。通过这个API安全解决方案,Akamai的客户可以实时看到他们公司所拥有的这些API的使用情况,同时在API被滥用的时候能够对他们提出警报。
Akamai 执行副总裁兼CTO Robert Blumofe
如今,越来越多的系统、应用都需要用到第三方的“库”。很多情况下企业可能都不知道自己用了哪些第三方的软件,有时即使知道用了一些第三方的软件,也不知道这些软件是谁写的。Akamai有若干的产品能够帮助企业针对“第三方库”,提升他们对第三方“库”的可视性。
如果这种第三方的“库”是通过API接入的话,Akamai的API防护产品能够提供很好的防护。如果这种第三方的“库”是通过网页整合进来的,尤其是在客户端的这种JAVA脚本的话,Akamai的Page Integrity Manager产品能够提供相应的防护。
对此,Akamai副总裁暨大中华区总经理李昇用以前盛行的Log4j漏洞为我们进行了详细举例。
Akamai副总裁暨大中华区总经理 李昇
2021年12月,一个“核弹级”漏洞(Log4Shell )被爆出,惊扰了全世界的企业安全人员的美梦。Log4j漏洞利用成本极低,可以直接任意代码执行,并接管目标服务器,它的潜在危害严重性和影响面可以说是2021年之最,在短时间内就让全球近半数的企业网络遭遇了攻击,并在互联网上迅猛扩散。
对此,Akamai 威胁研究实验室利用自身对于全球海量数据中心的监测能力,从全球 200 多个不同行业、不同规模的数据中心收集了相关数据,评估了Log4j 漏洞给企业带来的实际风险并给出防御建议。
(编者注:从上面这个案例也可以看出国内外网络安全的差异,这个漏洞是国内某云厂商安全部门首先发现,也没当什么事情就提交出去了,在国内的影响还真不是很大,但传到海外后,这个“核弹”就爆发了……)
温故而知新,Robert Blumofe更进一步地分析出:当我们大量使用开源、第三方应用插件的时候,需要让每一个使用者都清楚地了解,使用开源的风险在哪里,这是不现实的。这时你需要建立一个安全的隔离分段,一旦当这样的风险发生的时候,你可以最大程度地限制其影响。
如今,API的使用非常普遍,不仅仅是在后端、后台来使用。同时,包括客户端的应用与服务器之间的通信都使用的是API,所以API现在是无处不在。保证API的安全,首要的一点还是强调的可视性。企业作为防御方、防守方,必须知道我们有哪些API、它们是怎么样在被使用、什么时候被滥用、什么时候被攻击,这些都是需要我们时刻掌握的情况。
在这种情况下,采用“微分段”的工具对API接口进行防护就非常有帮助了。它的基本概念就是把每一个微服务或者服务端,通过API接口像一个小的房间一样隔离,只允许最小化所被允许的访问。这样的话,一旦有问题发生、对于企业造成的影响也是很小的,不会大范围地造成瘫痪性的影响。
在“微分段”之前,用户的访问只有大楼门上的一把锁,一旦进到这个大楼里面,实际上就可以畅通无阻了。“微分段”实际上就是给大楼里每一个房间都上一把锁。只有你确实需要进入某个特定房间的时候,你才能够开门,否则就进不去。
“分段”这个概念不是一个全新的概念,但是如果采用传统的防火墙技术实际上是很难实施和实现的。Akamai Guardicore Segmentation就是用一种全新的方法,对每个应用接口的API用Agents的方式实现更经济的管理控制。
以金融科技领导者与 Akamai 的合作为例,Finastra 是全球著名的金融软件应用程序及在线市场服务提供商。自 2017 年以来,其旗下的开放式创新平台 FusionFabric.cloud 推动银行即服务 (BaaS) 和嵌入式金融取得了强劲的发展。为了引领金融科技创新,Finastra 以提高核心竞争力作为其研发预算目标。Finastra 同 Akamai 强强联手为其应用程序和 API 保驾护航,这些应用程序和 API 专用于在联系日益紧密的世界中提供金融服务。
Finastra 客户技术及运营首席信息官 Russ Soper表示: “FusionFabric.cloud 为 Finastra 成为全球领先的 BaaS 解决方案供应商奠定了坚实基础。我们的业务宗旨是为企业提供基于云的应用程序及服务,让企业之间实现互联互通。实现这些互联的关键在于 API,因此为了保证服务不间断运行,我们需确保这些 API 安全无虞。” Soper 期望同具有大规模运营方面的成功经验、财务状况良好、富有领导力并且提供完备解决方案组合的企业建立合作关系。有 Akamai 相助,Finastra 在分布式拒绝服务攻击支持、Web 应用程序、API 安全以及边缘 DNS 方面实现了单点联系。
Soper 表示, “在安全方面我们从不固步自封。我们力求不断改进,随着当今世界之间的联系日益紧密,同 Akamai 等行业佼佼者建立合作关系有助于我们提供安全牢靠的服务。同内部自行研发相比,有 Akamai 相助,我们可以更快、并以更低成本及风险获得最新技术。”
如今,不仅限于API安全,Akamai可以利用全球分布广泛的云计算、安全性和内容交付平台Akamai Connected Cloud,为出海企业提供从基础设施、基础架构到业务应用的各类出海服务,并为之提供全面的防欺诈、防勒索应用安全防护。
最后,借用Robert Blumofe的一句话来做一个小结:
“随着中国品牌在全球的影响力越来越大,我们的安全防护如果只限于大中华区域其实也是不足够的。也就是说,我们的这种防御手段要扩展、要覆盖到攻击方所可能身处的任何区域。中国的品牌走出去、中国品牌国际化的同时,我们的防护工作、防御工作也要走出去,也要全球化。”
好文章,需要你的鼓励
临近年底,苹果公布了2024年App Store热门应用和游戏榜单,Temu再次成为美国下载量最多的免费应用。
云基础设施市场现在已经非常庞大,很难再有大的变化。但是,因为人们可以轻松地关闭服务器、存储和网络——就像开启它们那样,预测全球云基础设施开支可能非常困难。