於全球超過135國部署服務節點的Akamai,其自主研發的智慧型邊緣平台(Intelligent Edge Platform)已具備SASE(Secure Access Service Edge)組成元件,包含EAA(Enterprise Application Access)零信任網路存取、ETP(Enterprise Threat Protector)網頁安全閘道等資安機制,日前再宣布收購Linode取得IaaS服務供應商技術,可協助積極數位轉型的企業將營運核心系統從地端資料中心遷移到邊緣節點,提高用戶存取效率與安全性。
SASE是基於雲端平台建構的安全框架,目標在於解決企業營運邁向數位化帶來的網路傳輸與資安風險。在企業數位轉型過程中,各種應用系統持續遷移到雲端平台、行動辦公模式,過去受到資料中心嚴密保護的帳密、連網裝置、應用軟體、檔案等開始存放到雲端平台,SASE框架設計核心即是因應企業IT環境的轉變,把傳統在資料中心建置的安全控制機制,基於雲端原生平台融合網路與安全服務,推向更靠近用戶的邊緣位置。
智慧型邊緣平台擴展SASE服務
儘管SASE深受企業關注,Akamai技術支援經理王明輝認為,須留意的是SASE框架幾乎涵蓋了所有資安與網路技術,現階段難以由單一廠商提供全面性的解決方案,建議企業可依據自家外部據點分散程度或目標客群所在地區選用服務元件。
王明輝舉例,疫情衝擊改變辦公型態,為了讓員工隨處皆可執行工作任務,應用服務須無所不在,同時保障安全性與遞送品質,但不必然得採用完整SASE框架來建構辦公環境,例如初期可從落實零信任控管模式著手。對於目標客群著眼於全球各地市場的企業而言,應用服務勢必為分散式架構,得藉由內容遞送網路(CDN)、網頁應用防火牆(WAF)等手段解決效能與安全問題,因此改以SASE框架設計的雲端安全服務機制可發揮綜效,增進安全等級。
Akamai智慧型邊緣平台(Akamai Intelligent Edge Platform)提供了建構SASE框架的基礎,讓企業營運業務得以整合部署到邊緣,確保服務效能與安全性。(資料來源:Akamai)
前述提到,藉由SASE框架落實零信任網路存取,正可說是本土企業當前主要的目標,以便確保混合辦公安全無虞,對此Akamai智慧型邊緣平台已提供EAA、ETP、Akamai MFA服務可協助實作。為了協助企業地端環境落實一致性零信任控管政策,Akamai去年(2021)年底宣布收購Guardicore取得微分段(Micro-Segmentation)技術,可部署在企業內部資料中心實作合規性管控,特別是企業內部的伺服器群,互相溝通方式須符合規範。透過Guardicore機制把伺服器彼此之間的溝通行為予以串連,配置控管政策限制,僅開放必要的連線行為,其他一律禁止,並且以微分段加以限縮風險,可避免攻擊者成功滲透入侵應用系統後橫向感染,釀成更大災害。
至於用戶端存取控管可運用EAA服務,建立雲端身分驗證感知代理,整合Active Directory等服務,根據威脅情資解析設備狀態與用戶行為風險數值,以配置存取政策。遠端工作者須連線回到企業內部或邊緣運算環境存取應用資源,便可藉此事先定義來源用戶與存取目的地,並且存取流程中增添控管措施。
零信任網路存取必要的隔離機制須具備控管連線行為能力,遠端工作者皆透過EAA代理來執行,可強制加密、檢查設備環境、應用軟體漏洞等偵測,發現異常活動可觸發應用程式防火牆阻斷,避免給使用者直接存取應用的權限,降低感染惡意程式風險。
應用層微分段技術實作零信任
王明輝說明,零信任概念本是強調「永不信任、總是驗證」,隨著企業應用需求浮現,資安廠商皆陸續基於自家擅長技術提出相對應實作方案,多數遵循美國國家標準暨技術研究院(NIST)發布SP 800-207標準文件準則,技術範疇至少須涵蓋身分驗證、裝置檢查、應用系統與資料管理,以及網路微分段。
他進一步提及,傳統微分段技術主要是基於網路層實作,或是在伺服器群前方部署防火牆防惡意程式入侵,Guardicore設計思維則是監控伺服器東西向網路連通行為,得經過合規性檢查才予以通行。「收購Guardicore可說打破Akamai技術發展的慣例,代表Akamai發展的功能性技術不僅延續以雲端平台來提供,更開始踏入地端資料中心。Guardicore實作方式是在地端伺服器作業系統安裝軟體工具以建立微分段,同時可蒐集主機流量資料,彙整到監控系統分析比對合規性準則,相當適用於金融、電信等高度監管的產業。」
過去IT管理辦法多數未針對伺服器彼此之間的連線行為進行管制,演進到零信任控管原則,藉由微分段加以限制後,僅有認可的伺服器才允許連線,其他則予以禁止,較傳統的白名單機制更加細緻,不僅只控管IP層級,更重要的是可限制合法程式才能互通。例如連線存取Exchange伺服器的若非為Outlook軟體,即便是IP位址與連接埠皆相同,仍予以禁止。
邊緣平台納入Serverless與IaaS服務
Akamai伴隨企業數位化應用需求持續發展,現階段智慧型邊緣平台整合的方案,不僅只有傳統CDN為主的流量型服務,更增強其安全防護技術,例如流量清洗、防火牆即服務、防網頁操作側錄等機制,藉由全球部署的邊緣運算來提供。王明輝強調,如今再增添最新收購的Linode,專注於提供虛擬主機服務,整合Akamai擅長的CDN與資安技術,可完整保障數位化應用服務品質。
Akamai技術支援經理王明輝提醒,SASE框架由Secure Service Edge與SD-WAN整合建構,幾乎涵蓋所有現行地端的技術,須依據目標用戶存取位置選用組成元件,才可貼近實際應用所需。
此外,無伺服器運算(Serverless)方案的EdgeWorkers,讓DevOps團隊在全球分散式平台上自主創建程式碼且立即執行。企業既有的關鍵核心業務系統可以把耗用運算資源較多的程式碼拆分遷移部署到邊緣,藉此提升效能。特別是前端網頁,改用Serverless開發,無須實際啟用虛擬主機,只要拋轉程式碼到邊緣即可運行,企業可依據數位化營運業務選用最合適的部署方式。