應用架構向微服務演進 API與機器人防護看漲

2020-05-11
新世代的數位化應用服務,採用雲端平台因應瞬間爆量的工作負載已成常態,為了確保安全性,除了部署已相當成熟的WAF(網頁應用防火牆)來保護雲端服務,同時還需要API防護、DDoS攻擊緩解、惡意機器人攻擊防護措施,以免對外提供營運業務的服務被攻擊者伺機滲入。國際市調機構Gartner亦於2017年開始將整合提供雲端安全防護命名為WAAP(Web Application and API Protection)。

 

Akamai大中華區技術顧問主管馬俊觀察,企業在數位化轉型過程中,無可避免搭配採用雲端服務,由於可以利用雲端平台的特性,例如敏捷性、資源調度的靈活性等,讓應用服務得以彈性地擴展,並且依據使用量計費,減少不必要的開支,都驅動著企業IT演進到混合雲架構。

Imperva亞太暨日本區技術總監周達偉則指出,本土企業IT現階段已有超過半數為混合雲模式,特別是在服務業、高科技以及製造業,混合雲架構部署模式更廣泛地受到青睞。這些產業相當注重最終用戶存取的便利性與穩定性,至於如何完善建構安全的雲服務系統,則是當前面臨的最大挑戰。

審視雲端應用安全主要挑戰 

在企業轉型過程中,許多新的挑戰是過去企業IT架構從未遇見。馬俊指出,首當其衝的是安全性問題,原本應用系統集中部署在自有資料中心,安全邊界相當明確且固定,只要保證內部網路與外部網路安全,即可控制數位化資產、個資等機敏資料被盜取的風險。演進到混合雲架構之後,企業開始利用公有雲來提供新型態服務與存放資料,但網際網路上的任何安全威脅,都有機會影響到現今的混合雲架構。

以應用層攻擊手法為例,傳統上企業藉由次世代防火牆、應用程式防火牆來建立防護,阻絕攻擊進入內部網路,也使多數開發者覺得安全性並非為首要關鍵,只要全力專注在發展功能性即可。造成許多企業在軟體發布之前,通常不會進行完整的安全評估、軟體安全測試,卻在部署到公有雲平台之後,才被揭露漏洞,讓惡意攻擊者有可趁之機。

其次的挑戰是用戶體驗,這可說是數位化應用服務的關鍵指標,必須保證用戶得以在任何時間、用任何設備、任何場景,都能夠存取應用或處理業務。第三個挑戰是可管理性。地端IT基礎架構的實體設備皆有提供操控介面,通常IT人員必須登入到不同設備執行任務,IT規模較大的企業則是導入統一管理工具提升維運效率,然而應用服務部署上雲端之後,更亟須建立可同時掌握地端與雲端的管理模式。

Akamai資安教育培訓經理王明輝表示,資料中心與雲端平台的安全政策若想保持一致性,難度會很高。畢竟最終用戶會從任何地點發出存取請求,安全策略在地端與雲端又不盡相同,要達到一致,必須廣度思考,包括用戶管理、安全政策配置、賦予權限等,控管策略也是在管理層面需要考量的要項。

建立微服務架構API溝通安全措施 

隨著愈來愈多企業開始採用雲端服務發展新型態應用,既有資安技術供應商也陸續透過收購手段擴展雲端安全服務,例如F5連續收購NGINX與Shape Security、Imperva收購Prevoty與Distil Networks、Radware收購ShieldSquare等,皆是基於本就擅長的WAF技術與DDoS緩解服務,整合API與惡意機器人防禦,為雲端原生應用打造完整的WAAP服務。

企業善用現代化IT新技術來開創數位化營運模式,不再僅限於地端部署,亦可利用雲端平台來實踐,但在此之前,必須有能力掌握複雜的IT環境。F5 Networks台灣區資深技術顧問陳廣融觀察,儘管台灣採用雲端服務的腳步不快,卻是每年維持成長,接下來無法避免將面對安全性相關議題。若企業只想要最基本方式保護部署在雲端平台上的服務,或許會直接選用公有雲平台供應商提供的服務項目,但若企業體認到,雲端應用服務需要更進階的保護機制及能見度,專業資安技術即可有所發揮。

現代化企業IT資安風險的控管措施,隨著應用系統從單體式演進到微服務架構,東西向流量成為主要溝通模式,以Sidecar Pattern設計模式實踐Service Mesh環境,其中的關鍵安全防護標的即為API。Radware亞太區雲端架構師詹凱富指出,當前微服務架構的開發環境改以Kubernetes搭建的平台為主流,既有的資安設備控管措施變得難以介入,除非有方法進入掌握東西向流量。

詹凱富進一步說明,從雲端平台技術供應商發展態勢來看,包含Amazon EKS、Azure AKS、Google GKE、IBM IKS公有雲服務,以及地端的OpenShift、Docker DKS、Pivotal PKS,都是基於Kubernetes開發的平台,如今已是大勢所趨,讓新開發的程式可封裝成映像檔,在容器叢集環境快速遷移、部署,以因應上市時程。「Radware近期發布的Kubernetes WAF,便可以整合DevOps流程中的持續整合與部署Pipeline,把以往在WAF累積的防護知識,轉移到Kubernetes環境,納入安全控管政策,並且隨著應用程式異動更新。」

Akamai日前亦針對DevOps團隊發布EdgeWorkers服務,在開發初期即可藉由簡單撰寫JavaScript實作來達到控管目的,例如URL跳轉、針對特定區域的存取流量導向到相對應的網頁等任務,過去只能透過Akamai控管平台操作才可設定配置,如今只要運用JavaScript語法即可達成。 

惡意機器人的自動化攻擊數量與複雜度日漸增加,已成為資安團隊棘手的難題。周達偉觀察,主要在於攻擊活動隱蔽手法變得難以精準辨識,對此現象,美國甚至通過了名為《Stopping Grinch Bots Act of 2018》法案,旨在阻止有心人士或組織在促銷產品上線瞬間就利用自動機器人搶走。這也是Imperva收購Distil Networks關鍵因素,協助企業防範線上欺詐、帳密填充(Credential Stuffing)、漏洞掃描等惡意行徑。

對外營運服務必要的Bot管理服務

Imperva去年發布《Bots如何影響電商業務》威脅研究報告,針對全球231個網域中的164億次存取請求進行了分析,發現竟有高達30.8%的網站與行動App流量皆為機器人所發起。這些機器人主要負責持續爬取商品內容與定價資料,藉此影響線上零售業務的統計分析數據。此外,大量的機器人攻擊行為,在促銷活動繁忙期間,更加重網站運行效能,恐導致購物車崩潰影響實際營收。

「精準區分網站訪問者是真人還是機器人執行程序,如今變得更加重要。」周達偉強調,惡意機器人防禦服務必須能夠辨識出機器人執行程序是否為合法,例如Google、Yahoo等搜尋引擎爬蟲索引,抑或是惡意為之,例如以機器人執行程序來搶購新開賣的演唱會門票,進而即時地採取行動回應以緩解影響程度。

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!