Akamai大中華區技術顧問主管馬俊指出,現代化雲端原生應用的發展,從初期開發到上線、維運皆仰賴雲端平台,Akamai設計的方案以API實作正可整合運行。Akamai資安教育培訓經理王明輝表示,CDN、WAF都有測試環境,客戶可以先把應用服務推送到Akamai提供的測試環境,確認各項設定參數之後再推送到正式生產環境,如此一來,可避免設定錯誤必須再回溯的麻煩。此外,最新提出的EdgeWorkers,在邊緣環境幫助客戶進行邏輯判斷,EdgeWorkers支援JavaScript語法,用戶可自行撰寫URL跳轉、辨識存取來源的地區等,建立更多特殊的判斷機制。
採納雲端安全服務同時保障投資
現在企業IT架構演進到混合雲,可說是以數位轉型為目標必要經歷的過程,勢必也會衍生出新的管理模式。Gartner自2017年起將此類安全管理機制稱為WAAP(Web Application and API Protection)雲端服務,簡而言之是讓網際網路上的應用服務皆建立縱深防禦,整合抗DDoS、雲端版的WAF、機器人管理、API防護模組共同運行。
馬俊認為,一個能夠真正協助企業建立防護的WAAP服務,首要必須能夠確實掌握已知的安全漏洞,例如OWASP組織發布的資安風險,並且盡可能增添防護措施。其次是持續發布更新與優化演算分析技術,降低遺漏或錯誤率,尤其是機器人攻擊手法變化多端,須採多視角輔助偵測才可確認為惡意。第三是基於企業既有投資整合運行,企業已經投資建置了防禦架構,WAAP必須有能力協同運作而非取代。 「實際上,WAAP解決方案最關鍵環節在於API,主要因素是在於雲端原生應用的興起,微服務架構所採用的API數量相當龐大。根據Akamai調查報告統計,2019年有超過80%的流量,是API型態產生,由此不難發現,現代化應用服務相當仰仗API整合,必須提高防護等級。」馬俊說。
Akamai資安教育培訓經理王明輝指出,Akamai可提供的WAAP雲端服務平台是整合全球節點所打造,擁有超過27萬台邊緣伺服器分散在各區域的ISP機房,讓雲端服務得以藉由覆蓋率優勢提供就近防禦的能力。其次是平台整體頻寬,2020年整體峰值頻寬已可達到167Tbps,在業界已是領先指標,可說是Akamai的核心優勢。
Akamai提供的WAAP雲端服務項目包含Web Application Protector與Kona Site Defender。其中Web Application Protector比較適用於沒有專屬IT人員的中小企業。通常部署WAF時得經過一段時間調校才會發揮效果,許多企業部署後最大的障礙即在於調校無法自主完成,Web Application Protector內建的規則已經過Akamai調校、確認誤判率低,可符合中小企業立即可用的需求。
Kona Site Defender則屬於旗艦型的WAF,涵蓋的規則較為複雜,適合大型企業或跨國企業。王明輝以本土保險業客戶為例,保險在不同國家皆有各自法規要求,因此必須在當地設置專屬網站,並且遵循安全政策配置控管措施,這類跨國企業通常需要更細緻的規則設定以便因應,Kona Site Defender即可符合這類型的應用場景。
流量解析網路行為訓練分析模型
前述提到基於既有投資整合運行,馬俊舉例,企業若有地端部署SIEM平台來統一蒐集IT環境中的資料,並且運行大數據分析以便協助回應資安事件,新增添的WAAP服務也必須相容,保證企業投資可延用,並納入新偵測到的事件資料,更精準地回應。
「IT傳統應用部署在資料中心,新型態應用會改以雲端原生為主,這種情況下,建議可藉由WAAP解決方案的能力,涵蓋傳統與新型態應用,統一建立安全防護,這種做法並非要取代現有的資安投資,而是希望能夠整合連動。」馬俊說。企業初步啟用WAAP時,可選擇讓WAAP提出的告警資料,主動傳送到資安防禦平台,既有的防火牆等資安建置仍可發揮作用,更即時執行回應處置。
畢竟Akamai雲端平台掌握全球大約三成的網路流量,包括上億次的DNS查詢、網路連線請求,千萬次的惡意攻擊告警產生,這些都是運行大數據分析與實踐人工智慧應用不可或缺的寶貴資產,可掌握更多豐富的威脅情資,更精準地判別善意與惡意的連線行為。
例如攻擊者會利用IP位址發動攻擊,鎖定應用服務執行掃描連接埠等自動程序;或者是發送大量無效的連線請求,成為DDoS攻擊行為。掌握這些攻擊活動數據之後,即可運用機器學習演算解析、判讀可信任或高風險行為。Akamai會定期更新Kona Site Defender服務所運用的安全規則資料集,增添最新發現的安全漏洞、攻擊型態,讓平台用戶第一時間即可具備最新防護能力。
增設偵測第三方套件安全機制
針對近幾年相當受到關注的Bot Manager,Akamai近期宣布其新檢測機制開始採用工作量證明(PoW)。此技術過去被應用在垃圾郵件過濾,近年來則是成為區塊鏈中建立共識的機制,如今Akamai實作在Bot Manager檢測,欲藉此提高判斷存取行為究竟是人為或爬蟲的準確度。並且下半年會再進一步提出網頁完整性管理服務,偵測整合運行套件的安全性。
王明輝說明,任何資料中心部署的實體資安檢測機制,幾乎都未能擴及第三方資源檢測,例如廣告聯播JavaScript程式庫遭攻擊程式感染,對此,網頁完整性管理可偵測是否含有惡意,或者是版本過舊,以免企業網頁潛藏安全漏洞卻不自知,導致資料外洩事件發生。
現代化應用程式為了加快開發速度,常採用第三方JavaScript等套件整合運行,實際上已經超出安全管轄範圍,成為可能被利用來攻擊的管道。例如銀行網頁採用第三方的套件,當消費者輸入帳密時,該套件也可以接觸到輸入的字碼,轉發到惡意網站,但經由網頁完整性管理服務則可即時發現,阻斷轉發的行為,藉此保障最終消費者的安全。