隨著越來越多企業(yè)采取數(shù)字優(yōu)先的策略，業(yè)務(wù)應(yīng)用程序工作負載的數(shù)量和敏感性都在增加。通常來說，這些數(shù)字資產(chǎn)的第一道防線往往是強大的邊界安全態(tài)勢（這個邊界可能位于本地或是云端），而具體的防線可能采取多種形式，包括但不限于：

• 下一代防火墻
• Web應(yīng)用程序和API保護（WAAP）平臺
• 云原生安全策略

延伸閱讀，點擊鏈接了解 Akamai API Security

盡管這些安全機制仍然非常重要，但只使用它們本身并不足夠。即便防御良好的數(shù)據(jù)中心和云環(huán)境，安全漏洞也是不可避免的。這不是“是否會發(fā)生”的問題，而是“何時會發(fā)生”的問題。

一種全新類別的東西向API通信

很多安全團隊意識到了這一點，并開始加大對網(wǎng)絡(luò)或云邊界內(nèi)的東西向通信的監(jiān)控和保護力度。通常，這首先表現(xiàn)在對內(nèi)部端點和工作負載之間的網(wǎng)絡(luò)級通信進行更嚴格的審查。然而，內(nèi)部API用量的爆炸性增長創(chuàng)造了第二類東西向通信：內(nèi)部應(yīng)用程序和服務(wù)以編程的方式相互進行的通信。

雖然大多數(shù)企業(yè)已經(jīng)認識到了這個問題，但許多仍然在解決這一問題的路上苦苦掙扎。東西向網(wǎng)絡(luò)流量的數(shù)量通常遠遠超過南北向流量，這是造成復(fù)雜性增加的主要因素之一。

現(xiàn)在，東西向API通信這一新類別的引入，使得問題變得更加復(fù)雜。API與傳統(tǒng)網(wǎng)絡(luò)威脅有著截然不同的風險和攻擊向量。此外，由于這一新類別包括自動化的機器間通信，其流量量可能會變得更加龐大。

缺乏東西向可見性所導(dǎo)致的風險

過去我們會假設(shè)所有內(nèi)部流量都默認可信，這在今天的環(huán)境中已經(jīng)不再現(xiàn)實。威脅行為者不可避免地會利用數(shù)據(jù)中心和云安全的弱點來獲取未經(jīng)授權(quán)的網(wǎng)絡(luò)、云或系統(tǒng)訪問權(quán)限。這些漏洞是否會升級為大規(guī)模事件？這取決于企業(yè)檢測東西向流量中所蘊含威脅的能力。

東西向流量的巨大規(guī)模以及它“通常被認為是合法的”這一事實，對威脅行為者大有好處。一旦惡意人員在受信任的環(huán)境中立足，往往就會嘗試橫向移動到更有價值的資產(chǎn)。

這些努力有時進展迅速，但也可能持續(xù)數(shù)月，威脅行為者會將自己的活動融入合法的東西向流量中。更重要的是，API為東西向可見性和監(jiān)控挑戰(zhàn)增加了一個全新維度。

API流量已經(jīng)不容忽視

內(nèi)部API現(xiàn)在已經(jīng)廣泛用于各種應(yīng)用程序訪問敏感數(shù)據(jù)和業(yè)務(wù)工作流等情況下。內(nèi)部API可能被認為“更安全”，因為它們不應(yīng)在企業(yè)外部使用。但如果被攻破了，我們該怎么得知這一情況？

我們需要了解并評估內(nèi)部API的行為，以確保企業(yè)是否依然安全。API流量已經(jīng)不容忽視。對于試圖在本地或云環(huán)境中橫向移動的威脅行為者來說，API提供了新的，并且可能具有破壞性的攻擊向量。

在更傳統(tǒng)的漏洞情景中，威脅行為者可能需要通過提升權(quán)限和利用系統(tǒng)級漏洞來實現(xiàn)橫向移動。而內(nèi)部API則提供了一系列全新的入侵途徑。

API實施中普遍存在的漏洞

在某些情況下，內(nèi)部API可能由于假設(shè)外界無法訪問而未實施必要的安全控制。但即便遵循了良好的安全實踐，API實施中的漏洞可能依然普遍存在。內(nèi)部東西向API經(jīng)常被錯誤配置并在不知情的情況下暴露到互聯(lián)網(wǎng)上。如果被發(fā)現(xiàn)，原本用于東西向通信的API很快就可能成為數(shù)據(jù)泄露的源頭。

有些攻擊甚至可能不需要API漏洞；相反，可能僅需要濫用標準的API功能。這就更加難以檢測，因為幾乎與授權(quán)的API一模一樣。即使企業(yè)有專門的WAAP平臺，通常也僅專注于南北向的API活動。

獲得東西向可見性并執(zhí)行策略

作為內(nèi)容傳輸領(lǐng)域的領(lǐng)先企業(yè)，Akamai在南北向應(yīng)用活動的性能優(yōu)化、可擴展性和安全性等方面提供了一流的服務(wù)。憑借過去一段時間里的戰(zhàn)略性收購（例如收購Guardicore和Neosec），Akamai還獲得了高度差異化的能力，借此已經(jīng)能夠可視化并保護東西向活動。

Akamai Guardicore Segmentation和Akamai API Security共同解決了東西向流量發(fā)現(xiàn)、分析和威脅檢測等關(guān)鍵問題，并能以高度互補的方式協(xié)同工作。

全面的發(fā)現(xiàn)能力是東西向可見性和保護的基石

• Akamai Guardicore Segmentation

無論東西向網(wǎng)絡(luò)流量還是API使用，信息的有效發(fā)現(xiàn)都是實現(xiàn)可見性、檢測和策略執(zhí)行方法的基礎(chǔ)。即使東西向流量的安全能力已經(jīng)到位，如果具體操作基于不完整的數(shù)據(jù)，最終也將無法奏效。

Akamai Guardicore Segmentation使用多種技術(shù)確保發(fā)現(xiàn)所有端點和應(yīng)用工作負載，以及它們之間的所有信息流。這包括網(wǎng)絡(luò)級收集器、基于主機的代理、云提供商API集成等。

• Akamai API SecurityAkamai API Security

使用類似的廣泛方法來發(fā)現(xiàn)整個企業(yè)中使用的所有API，包括繞過標準系統(tǒng)和實踐的惡意API或影子API。這包括從所有可用來源收集日志，例如API網(wǎng)關(guān)、內(nèi)容分發(fā)網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備、云平臺等。

總之，Akamai Guardicore Segmentation和Akamai API Security的發(fā)現(xiàn)能力確保用戶可從多個應(yīng)用程序棧全面了解東西向活動。

防止數(shù)據(jù)中心和云環(huán)境中的橫向移動

Akamai Guardicore Segmentation允許用戶以高度詳細的方式可視化數(shù)據(jù)中心和/或云環(huán)境中的所有通信流。用戶可以利用這些洞察來創(chuàng)建精細的零信任分段策略，從而嚴格控制端點和應(yīng)用工作負載之間的通信流。

除了阻止不符合分段策略的活動，Akamai Guardicore Segmentation還能利用Akamai威脅情報在東西向數(shù)據(jù)中心和云流量中檢測并告警可疑活動。

將東西向可見性和策略控制擴展到API

正如Akamai Guardicore Segmentation允許用戶可視化和管理通信流一樣，Akamai API Security提供了對所有API活動的可見性，包括東西向API使用，并能利用復(fù)雜的行為分析機制來檢測隱藏在合法活動中的API濫用。

當檢測到可疑API使用時，Akamai API Security會生成信息豐富的警報。它還可以通過與Akamai或第三方WAAP平臺集成，執(zhí)行自動化策略響應(yīng)，如吊銷憑證或?qū)嵤┧俾氏拗啤?/span>

結(jié)論

獲得東西向通信的可見性和控制力，這是企業(yè)改善安全態(tài)勢的最有效措施之一。做好這項工作需要跨多個領(lǐng)域?qū)崿F(xiàn)東西向的可見性，進而從本地和云環(huán)境中的傳統(tǒng)網(wǎng)絡(luò)深入到新興的API網(wǎng)絡(luò)。

Akamai Guardicore Segmentation和Akamai API Security共同作用，將能幫助企業(yè)輕松實現(xiàn)：

• 獲得網(wǎng)絡(luò)和應(yīng)用棧各個層次的東西向可見性
• 檢測試圖隱藏在東西向流量中的惡意活動
• 實施精細策略，防止威脅行為者橫向移動和濫用API

—————————————————————————————————————————————————

如您所在的企業(yè)也想要進一步保護API安全，

點擊鏈接 了解Akamai的解決方案