随着越来越多企业采取数字优先的策略,业务应用程序工作负载的数量和敏感性都在增加。通常来说,这些数字资产的第一道防线往往是强大的边界安全态势(这个边界可能位于本地或是云端),而具体的防线可能采取多种形式,包括但不限于:
- 下一代防火墙
- Web应用程序和API保护(WAAP)平台
- 云原生安全策略
延伸阅读,点击链接了解 Akamai API Security
尽管这些安全机制仍然非常重要,但只使用它们本身并不足够。即便防御良好的数据中心和云环境,安全漏洞也是不可避免的。这不是“是否会发生”的问题,而是“何时会发生”的问题。
一种全新类别的东西向API通信
很多安全团队意识到了这一点,并开始加大对网络或云边界内的东西向通信的监控和保护力度。通常,这首先表现在对内部端点和工作负载之间的网络级通信进行更严格的审查。然而,内部API用量的爆炸性增长创造了第二类东西向通信:内部应用程序和服务以编程的方式相互进行的通信。
虽然大多数企业已经认识到了这个问题,但许多仍然在解决这一问题的路上苦苦挣扎。东西向网络流量的数量通常远远超过南北向流量,这是造成复杂性增加的主要因素之一。
现在,东西向API通信这一新类别的引入,使得问题变得更加复杂。API与传统网络威胁有着截然不同的风险和攻击向量。此外,由于这一新类别包括自动化的机器间通信,其流量量可能会变得更加庞大。
缺乏东西向可见性所导致的风险
过去我们会假设所有内部流量都默认可信,这在今天的环境中已经不再现实。威胁行为者不可避免地会利用数据中心和云安全的弱点来获取未经授权的网络、云或系统访问权限。这些漏洞是否会升级为大规模事件?这取决于企业检测东西向流量中所蕴含威胁的能力。
东西向流量的巨大规模以及它“通常被认为是合法的”这一事实,对威胁行为者大有好处。一旦恶意人员在受信任的环境中立足,往往就会尝试横向移动到更有价值的资产。
这些努力有时进展迅速,但也可能持续数月,威胁行为者会将自己的活动融入合法的东西向流量中。更重要的是,API为东西向可见性和监控挑战增加了一个全新维度。
API流量已经不容忽视
内部API现在已经广泛用于各种应用程序访问敏感数据和业务工作流等情况下。内部API可能被认为“更安全”,因为它们不应在企业外部使用。但如果被攻破了,我们该怎么得知这一情况?
我们需要了解并评估内部API的行为,以确保企业是否依然安全。API流量已经不容忽视。对于试图在本地或云环境中横向移动的威胁行为者来说,API提供了新的,并且可能具有破坏性的攻击向量。
在更传统的漏洞情景中,威胁行为者可能需要通过提升权限和利用系统级漏洞来实现横向移动。而内部API则提供了一系列全新的入侵途径。
API实施中普遍存在的漏洞
在某些情况下,内部API可能由于假设外界无法访问而未实施必要的安全控制。但即便遵循了良好的安全实践,API实施中的漏洞可能依然普遍存在。内部东西向API经常被错误配置并在不知情的情况下暴露到互联网上。如果被发现,原本用于东西向通信的API很快就可能成为数据泄露的源头。
有些攻击甚至可能不需要API漏洞;相反,可能仅需要滥用标准的API功能。这就更加难以检测,因为几乎与授权的API一模一样。即使企业有专门的WAAP平台,通常也仅专注于南北向的API活动。
获得东西向可见性并执行策略
作为内容传输领域的领先企业,Akamai在南北向应用活动的性能优化、可扩展性和安全性等方面提供了一流的服务。凭借过去一段时间里的战略性收购(例如收购Guardicore和Neosec),Akamai还获得了高度差异化的能力,借此已经能够可视化并保护东西向活动。
Akamai Guardicore Segmentation和Akamai API Security共同解决了东西向流量发现、分析和威胁检测等关键问题,并能以高度互补的方式协同工作。
Akamai Guardicore Segmentation | Akamai API Security | |
发现 | 发现端点和应用流量 | 发现整个企业中使用的所有API |
东西向可见性 | 查看网络中的横向移动 | 查看连接内部应用的API |
威胁检测 | 检测异常和不合规的网络活动 | 检测API漏洞和不合规的API使用 |
策略实施 | 通过网络控制实现基于代理和无代理的集成 | 通过API网关和WAAP平台实现无代理集成 |
威胁狩猎 | 数据驱动的基础设施级威胁狩猎服务 | 数据驱动的API威胁狩猎服务 |
全面的发现能力是东西向可见性和保护的基石
- Akamai Guardicore Segmentation
无论东西向网络流量还是API使用,信息的有效发现都是实现可见性、检测和策略执行方法的基础。即使东西向流量的安全能力已经到位,如果具体操作基于不完整的数据,最终也将无法奏效。
Akamai Guardicore Segmentation使用多种技术确保发现所有端点和应用工作负载,以及它们之间的所有信息流。这包括网络级收集器、基于主机的代理、云提供商API集成等。
- Akamai API SecurityAkamai API Security
使用类似的广泛方法来发现整个企业中使用的所有API,包括绕过标准系统和实践的恶意API或影子API。这包括从所有可用来源收集日志,例如API网关、内容分发网络、网络设备、云平台等。
总之,Akamai Guardicore Segmentation和Akamai API Security的发现能力确保用户可从多个应用程序栈全面了解东西向活动。
防止数据中心和云环境中的横向移动
Akamai Guardicore Segmentation允许用户以高度详细的方式可视化数据中心和/或云环境中的所有通信流。用户可以利用这些洞察来创建精细的零信任分段策略,从而严格控制端点和应用工作负载之间的通信流。
除了阻止不符合分段策略的活动,Akamai Guardicore Segmentation还能利用Akamai威胁情报在东西向数据中心和云流量中检测并告警可疑活动。
将东西向可见性和策略控制扩展到API
正如Akamai Guardicore Segmentation允许用户可视化和管理通信流一样,Akamai API Security提供了对所有API活动的可见性,包括东西向API使用,并能利用复杂的行为分析机制来检测隐藏在合法活动中的API滥用。
当检测到可疑API使用时,Akamai API Security会生成信息丰富的警报。它还可以通过与Akamai或第三方WAAP平台集成,执行自动化策略响应,如吊销凭证或实施速率限制。
结论
获得东西向通信的可见性和控制力,这是企业改善安全态势的最有效措施之一。做好这项工作需要跨多个领域实现东西向的可见性,进而从本地和云环境中的传统网络深入到新兴的API网络。
Akamai Guardicore Segmentation和Akamai API Security共同作用,将能帮助企业轻松实现:
- 获得网络和应用栈各个层次的东西向可见性
- 检测试图隐藏在东西向流量中的恶意活动
- 实施精细策略,防止威胁行为者横向移动和滥用API
—————————————————————————————————————————————————
如您所在的企业也想要进一步保护API安全,
点击链接 了解Akamai的解决方案
