此外,藉由Akamai智慧型邊緣平台(Intelligent Edge Platform)發展的SASE(Secure Access Service Edge)框架,提供SSE(Security Service Edge)整合方案落實零信任控管政策,讓用戶、連網裝置、應用系統能套用一致性的措施,協助分散式IT應用強化安全等級。
Akamai大中華區資深技術顧問王明輝指出,若員工須隨處皆可執行工作任務,日常存取的應用系統亦應該無所不在地提供。Akamai核心優勢是在全球135個地區,協同超過4,100個網路接入點,部署350,000台邊緣伺服器,總計可承載900Tbps網路傳輸量,有助於協助本土跨國企業部署應用服務。
「2022年Akamai透過收購Linode取得Linux虛擬主機技術,打造Akamai Connected Cloud分散式邊緣和雲端平台,用意即是貼近企業應用場域需求,讓工作負載可就近在邊緣運算運行。」王明輝說。
為了遏制勒索軟體等外部攻擊威脅,Akamai持續擴展資安服務能量,最新發布Akamai Hunt服務,由威脅情報與分析團隊判讀Akamai Guardicore Segmentation解決方案蒐集取得伺服器彼此溝通的資料,引導協助修復弱點與漏洞,用以鞏固IT基礎架構安全。
智慧型邊緣平台實作零信任存取
以往企業IT基礎架構由不同技術領域的供應商搭建而成,資安防護機制亦是如此,在外部攻擊威脅可能滲透入侵的管道設置異質技術進行偵測。隨著企業採用雲端服務數量逐年增長、員工改為混合辦公,使得攻擊面變得更廣,既有的資安架構已不足以發揮效益。王明輝觀察,這正是SASE框架受到企業關注的核心因素。
他進一步說明,SASE的概念是改以人與連網裝置為核心,制定零信任控管政策。當存取行為發起時,首要須通過多因素機制的身分驗證,其次是偵測連網裝置環境安全性,避免放行存取期間後門程式趁機滲透入侵。
Akamai智慧型邊緣平台不僅提供企業熟知的DDoS緩解、網頁應用程式防火牆(WAF)、API防護、Bot Manager、用戶信譽評等機制,針對遠端工作者存取安全還可透過EAA(Enterprise Application Access)方案,以零信任網路存取(ZTNA)配置保護措施。
運行方式是藉由終端裝置安裝的代理程式,自動導向Akamai智慧型邊緣平台。該平台提供的EAA方案,可檢查裝置運行環境的風險性,配置不同安全等級的政策措施,一旦風險指數過高則禁止遠端連線存取。
ZTNA為供應鏈安全把關
欲落實零信任控管,存取架構須具備隔離機制,預設任何存取行為皆視為不安全連線。連網裝置或登入者身分必須先通過驗證,依據該用戶所屬角色定義合法與非法的行為,例如Teams視訊會議過程中只有管理層可上傳檔案等。
台灣多數企業內部皆有部署Active Directory伺服器驗證員工身分,遠距工作者可藉由Akamai智慧型邊緣平台的EAA服務,連線接取資料中心的EAA Connector虛擬主機進行驗證。智慧型邊緣平台亦可基於SAML標準整合Azure AD來執行身分驗證,進而落實最小權限配置,防堵非法存取行為。
至於委外廠商、供應鏈上下游夥伴,存取關鍵應用系統的行為同樣是藉由EAA服務驗證與配置權限進行把關。權限控管還可進一步設定過濾特定地區發起的連線,例如來自中國、俄羅斯等地區的連線,可直接予以禁止。針對機敏性較高的應用系統,可透過限制允許存取的時段,以免惡意人士趁離峰期間嘗試登入。
存取流量全數經過Akamai智慧型邊緣平台,可自動偵測與過濾網路層DDoS攻擊,並檢查存取請求封包,防堵SQL注入、XSS(跨網站腳本攻擊)等惡意威脅。安全性檢查通過後再依據身分別、允許存取應用權限進行路由導向,全程操作行為皆可予以記錄,以供後續稽核檢查。
王明輝以某高科技製造業的客戶舉例,其借助智慧型邊緣平台服務可輔助韌體下載、內部教育訓練、跨地區的存取連線等應用場景,保障遞送效能與安全性。近年來供應鏈安全成為製造業關注的議題,開始探討零信任控管模式的實踐方法,Akamai即可協助建立ZTNA,強化落實IT存取管控,降低營運機敏資料外洩風險。
預計啟用FWaaS持續擴增防護力
前述EAA方案用於保護存取企業應用服務的行為,Akamai智慧型邊緣平台另一項服務則是負責上網安全管控的ETP(Enterprise Threat Protector)方案,於今年(2023)正式更名為SIA(Secure Internet Access)。SIA提供位於雲端平台的網站安全閘道器,其偵測引擎基於Akamai內部Cloud Security Intelligence研究團隊累積的豐富情資,可主動辨識入侵指標與阻斷威脅。
當用戶與連網裝置瀏覽網站時,透過SIA的輕量級代理程式自動導向Akamai智慧型邊緣平台,避免被釣魚網頁的惡意程式滲透。SIA偵測引擎亦可掃描用戶存取的檔案內容,阻止違反規範的機敏資料上傳到雲端硬碟,降低資料外洩風險。
一個符合混合辦公模式控管需求的SASE框架解決方案,組成元素還必須涵蓋廣域網路領域的SD-WAN、CDN等技術。王明輝指出,市場上提供的SD-WAN著重於整合企業端網路架構,運用軟體定義技術來串連外部據點、分公司的網路,讓分散各地的員工透過Internet即可方便地存取內部資源與相互協同合作。Akamai定位則是基於擅長的CDN技術,透過路由優化來達成,運用的技術不同於其他發展SASE框架的資安廠商。
此外,Akamai持續投入研發擴展SSE方案的能力,王明輝指出,預計Akamai智慧型邊緣平台今年將再擴增FWaaS(Firewall as a Service)機制,相較於既有專注於防堵應用層的WAF機制,FWaaS則偏重於IP層連通性的安全,讓SSE防護方案更完整。
針對近期企業關注的無密碼登入(Passwordless)機制,Akamai也會在今年納入支援。例如員工筆電存取企業內部應用服務時,結合手機App驗證方式,只需點選允許即可完成登入,不用再記憶多組密碼,藉此確保安全性又可兼顧用戶體驗。