隨著越來(lái)越多企業(yè)采取數(shù)字優(yōu)先的策略，業(yè)務(wù)應(yīng)用程序工作負(fù)載的數(shù)量和敏感性都在增加。通常來(lái)說(shuō)，這些數(shù)字資產(chǎn)的第一道防線(xiàn)往往是強(qiáng)大的邊界安全態(tài)勢(shì)（這個(gè)邊界可能位于本地或是云端），而具體的防線(xiàn)可能采取多種形式，包括但不限于：

• 下一代防火墻
• Web應(yīng)用程序和API保護(hù)（WAAP）平臺(tái)
• 云原生安全策略

延伸閱讀，點(diǎn)擊鏈接了解 Akamai API Security

盡管這些安全機(jī)制仍然非常重要，但只使用它們本身并不足夠。即便防御良好的數(shù)據(jù)中心和云環(huán)境，安全漏洞也是不可避免的。這不是“是否會(huì)發(fā)生”的問(wèn)題，而是“何時(shí)會(huì)發(fā)生”的問(wèn)題。

一種全新類(lèi)別的東西向API通信

很多安全團(tuán)隊(duì)意識(shí)到了這一點(diǎn)，并開(kāi)始加大對(duì)網(wǎng)絡(luò)或云邊界內(nèi)的東西向通信的監(jiān)控和保護(hù)力度。通常，這首先表現(xiàn)在對(duì)內(nèi)部端點(diǎn)和工作負(fù)載之間的網(wǎng)絡(luò)級(jí)通信進(jìn)行更嚴(yán)格的審查。然而，內(nèi)部API用量的爆炸性增長(zhǎng)創(chuàng)造了第二類(lèi)東西向通信：內(nèi)部應(yīng)用程序和服務(wù)以編程的方式相互進(jìn)行的通信。

雖然大多數(shù)企業(yè)已經(jīng)認(rèn)識(shí)到了這個(gè)問(wèn)題，但許多仍然在解決這一問(wèn)題的路上苦苦掙扎。東西向網(wǎng)絡(luò)流量的數(shù)量通常遠(yuǎn)遠(yuǎn)超過(guò)南北向流量，這是造成復(fù)雜性增加的主要因素之一。

現(xiàn)在，東西向API通信這一新類(lèi)別的引入，使得問(wèn)題變得更加復(fù)雜。API與傳統(tǒng)網(wǎng)絡(luò)威脅有著截然不同的風(fēng)險(xiǎn)和攻擊向量。此外，由于這一新類(lèi)別包括自動(dòng)化的機(jī)器間通信，其流量量可能會(huì)變得更加龐大。

缺乏東西向可見(jiàn)性所導(dǎo)致的風(fēng)險(xiǎn)

過(guò)去我們會(huì)假設(shè)所有內(nèi)部流量都默認(rèn)可信，這在今天的環(huán)境中已經(jīng)不再現(xiàn)實(shí)。威脅行為者不可避免地會(huì)利用數(shù)據(jù)中心和云安全的弱點(diǎn)來(lái)獲取未經(jīng)授權(quán)的網(wǎng)絡(luò)、云或系統(tǒng)訪(fǎng)問(wèn)權(quán)限。這些漏洞是否會(huì)升級(jí)為大規(guī)模事件？這取決于企業(yè)檢測(cè)東西向流量中所蘊(yùn)含威脅的能力。

東西向流量的巨大規(guī)模以及它“通常被認(rèn)為是合法的”這一事實(shí)，對(duì)威脅行為者大有好處。一旦惡意人員在受信任的環(huán)境中立足，往往就會(huì)嘗試橫向移動(dòng)到更有價(jià)值的資產(chǎn)。

這些努力有時(shí)進(jìn)展迅速，但也可能持續(xù)數(shù)月，威脅行為者會(huì)將自己的活動(dòng)融入合法的東西向流量中。更重要的是，API為東西向可見(jiàn)性和監(jiān)控挑戰(zhàn)增加了一個(gè)全新維度。

API流量已經(jīng)不容忽視

內(nèi)部API現(xiàn)在已經(jīng)廣泛用于各種應(yīng)用程序訪(fǎng)問(wèn)敏感數(shù)據(jù)和業(yè)務(wù)工作流等情況下。內(nèi)部API可能被認(rèn)為“更安全”，因?yàn)樗鼈儾粦?yīng)在企業(yè)外部使用。但如果被攻破了，我們?cè)撛趺吹弥@一情況？

我們需要了解并評(píng)估內(nèi)部API的行為，以確保企業(yè)是否依然安全。API流量已經(jīng)不容忽視。對(duì)于試圖在本地或云環(huán)境中橫向移動(dòng)的威脅行為者來(lái)說(shuō)，API提供了新的，并且可能具有破壞性的攻擊向量。

在更傳統(tǒng)的漏洞情景中，威脅行為者可能需要通過(guò)提升權(quán)限和利用系統(tǒng)級(jí)漏洞來(lái)實(shí)現(xiàn)橫向移動(dòng)。而內(nèi)部API則提供了一系列全新的入侵途徑。

API實(shí)施中普遍存在的漏洞

在某些情況下，內(nèi)部API可能由于假設(shè)外界無(wú)法訪(fǎng)問(wèn)而未實(shí)施必要的安全控制。但即便遵循了良好的安全實(shí)踐，API實(shí)施中的漏洞可能依然普遍存在。內(nèi)部東西向API經(jīng)常被錯(cuò)誤配置并在不知情的情況下暴露到互聯(lián)網(wǎng)上。如果被發(fā)現(xiàn)，原本用于東西向通信的API很快就可能成為數(shù)據(jù)泄露的源頭。

有些攻擊甚至可能不需要API漏洞；相反，可能僅需要濫用標(biāo)準(zhǔn)的API功能。這就更加難以檢測(cè)，因?yàn)閹缀跖c授權(quán)的API一模一樣。即使企業(yè)有專(zhuān)門(mén)的WAAP平臺(tái)，通常也僅專(zhuān)注于南北向的API活動(dòng)。

獲得東西向可見(jiàn)性并執(zhí)行策略

作為內(nèi)容傳輸領(lǐng)域的領(lǐng)先企業(yè)，Akamai在南北向應(yīng)用活動(dòng)的性能優(yōu)化、可擴(kuò)展性和安全性等方面提供了一流的服務(wù)。憑借過(guò)去一段時(shí)間里的戰(zhàn)略性收購(gòu)（例如收購(gòu)Guardicore和Neosec），Akamai還獲得了高度差異化的能力，借此已經(jīng)能夠可視化并保護(hù)東西向活動(dòng)。

Akamai Guardicore Segmentation和Akamai API Security共同解決了東西向流量發(fā)現(xiàn)、分析和威脅檢測(cè)等關(guān)鍵問(wèn)題，并能以高度互補(bǔ)的方式協(xié)同工作。

全面的發(fā)現(xiàn)能力是東西向可見(jiàn)性和保護(hù)的基石

• Akamai Guardicore Segmentation

無(wú)論東西向網(wǎng)絡(luò)流量還是API使用，信息的有效發(fā)現(xiàn)都是實(shí)現(xiàn)可見(jiàn)性、檢測(cè)和策略執(zhí)行方法的基礎(chǔ)。即使東西向流量的安全能力已經(jīng)到位，如果具體操作基于不完整的數(shù)據(jù)，最終也將無(wú)法奏效。

Akamai Guardicore Segmentation使用多種技術(shù)確保發(fā)現(xiàn)所有端點(diǎn)和應(yīng)用工作負(fù)載，以及它們之間的所有信息流。這包括網(wǎng)絡(luò)級(jí)收集器、基于主機(jī)的代理、云提供商API集成等。

• Akamai API SecurityAkamai API Security

使用類(lèi)似的廣泛方法來(lái)發(fā)現(xiàn)整個(gè)企業(yè)中使用的所有API，包括繞過(guò)標(biāo)準(zhǔn)系統(tǒng)和實(shí)踐的惡意API或影子API。這包括從所有可用來(lái)源收集日志，例如API網(wǎng)關(guān)、內(nèi)容分發(fā)網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備、云平臺(tái)等。

總之，Akamai Guardicore Segmentation和Akamai API Security的發(fā)現(xiàn)能力確保用戶(hù)可從多個(gè)應(yīng)用程序棧全面了解東西向活動(dòng)。

防止數(shù)據(jù)中心和云環(huán)境中的橫向移動(dòng)

Akamai Guardicore Segmentation允許用戶(hù)以高度詳細(xì)的方式可視化數(shù)據(jù)中心和/或云環(huán)境中的所有通信流。用戶(hù)可以利用這些洞察來(lái)創(chuàng)建精細(xì)的零信任分段策略，從而嚴(yán)格控制端點(diǎn)和應(yīng)用工作負(fù)載之間的通信流。

除了阻止不符合分段策略的活動(dòng)，Akamai Guardicore Segmentation還能利用Akamai威脅情報(bào)在東西向數(shù)據(jù)中心和云流量中檢測(cè)并告警可疑活動(dòng)。

將東西向可見(jiàn)性和策略控制擴(kuò)展到API

正如Akamai Guardicore Segmentation允許用戶(hù)可視化和管理通信流一樣，Akamai API Security提供了對(duì)所有API活動(dòng)的可見(jiàn)性，包括東西向API使用，并能利用復(fù)雜的行為分析機(jī)制來(lái)檢測(cè)隱藏在合法活動(dòng)中的API濫用。

當(dāng)檢測(cè)到可疑API使用時(shí)，Akamai API Security會(huì)生成信息豐富的警報(bào)。它還可以通過(guò)與Akamai或第三方WAAP平臺(tái)集成，執(zhí)行自動(dòng)化策略響應(yīng)，如吊銷(xiāo)憑證或?qū)嵤┧俾氏拗啤?/span>

結(jié)論

獲得東西向通信的可見(jiàn)性和控制力，這是企業(yè)改善安全態(tài)勢(shì)的最有效措施之一。做好這項(xiàng)工作需要跨多個(gè)領(lǐng)域?qū)崿F(xiàn)東西向的可見(jiàn)性，進(jìn)而從本地和云環(huán)境中的傳統(tǒng)網(wǎng)絡(luò)深入到新興的API網(wǎng)絡(luò)。

Akamai Guardicore Segmentation和Akamai API Security共同作用，將能幫助企業(yè)輕松實(shí)現(xiàn)：

• 獲得網(wǎng)絡(luò)和應(yīng)用棧各個(gè)層次的東西向可見(jiàn)性
• 檢測(cè)試圖隱藏在東西向流量中的惡意活動(dòng)
• 實(shí)施精細(xì)策略，防止威脅行為者橫向移動(dòng)和濫用API

—————————————————————————————————————————————————

如您所在的企業(yè)也想要進(jìn)一步保護(hù)API安全，

點(diǎn)擊鏈接 了解Akamai的解決方案