Akamai Identity Cloud 安全性

我们客户的成功(以及我们自己的成功)取决于我们不断保持自己托管的数字身份的安全性、机密性、完整性和可用性。我们必须保护被客户授权访问其在线资产或托管设备的员工、客户和第三方。这就是为什么我们的全球平台架构独家配备字段级别范围数据访问、静态数据的完整数据库加密、领先的服务可用性和数据可靠性、分布式备份以及首屈一指的灾难恢复功能。这也是 Akamai Identity Cloud 在公认的第三方认证中领先于竞争对手的原因。

我们如何确保您的客户身份数据安全

安全监控、阻止和欺诈保护

Akamai Identity Cloud 可持续监控我们的生产环境,以了解 Akamai Identity Cloud 平台的状态和运行状况。我们收集有关每项服务的正常运行时间和可用性的详细关键性能指标 (KPI) 指标。异常会触发向网络运营指挥中心 (NOCC) 工作人员(全天候应答)发出警报。

暴力破解攻击(帐户接管)

Akamai Identity Cloud 提供帐户锁定功能,以防止暴力破解密码尝试。在特定次数的用户尝试失败后,Akamai Identity Cloud 会锁定帐户。此功能是完全可自定义的,客户可确定何时以及如何阻止额外的登录尝试。此外,Akamai Identity Cloud 还提供基于验证码和短信的身份验证选项。客户可以选择在达到任何登录尝试阈值时实施这些措施以执行升级身份验证。

高级持久分布式攻击

Akamai Identity Cloud 具有成功避免分布式攻击的经验。通过主动监控爬虫程序/恶意活动 - 关联特定于登录和注册的数十个自定义指标 - 我们可以阻止恶意角色在攻击期间操控的众多动态 IP 集。

通过 IP 阻止和白名单,Akamai Identity Cloud 可以确保仅在获得授权时授予访问权限。例如,Akamai Identity Cloud 可以识别来自特定国家或地区的 IP 地址,并根据客户的选择阻止它们进行注册和/或登录(地理位置阻止)。它还可以阻止特定的 IP 地址列表(例如,已知的恶意 IP 地址和与黑帽相关的 IP 地址的列表)。如果 IP 地址是合法的,但属于标准规则的例外情况,或者如果它们被错误地添加到黑名单中,Akamai Identity Cloud 可以将它们列入白名单,以确保始终接受此列表中的 IP 地址。

拒绝服务攻击

Online Business Systems, Inc. 是一家外部第三方渗透测试公司,该公司测试了 Akamai Identity Cloud 抵御 DoS 攻击的能力。爬虫程序缓解策略包括用于缓解爬虫程序 DoS 攻击的速率限制、用于缓解创建虚假用户配置文件的爬虫程序的 reCAPTCHA 以及用于确保所有字段值都合法的客户端和服务器端验证。

趋势监控

Akamai Identity Cloud 基于每个客户使用自定义 API 监控,以确定使用趋势以及识别和阻止异常使用模式。事实证明,它可以帮助 Akamai Identity Cloud 客户成功识别并缓解恶意活动。由于每个客户都是独一无二的,因此 Akamai Identity Cloud 可以实施反映固有趋势差异的警报和阻止规则。

Akamai Identity Cloud 与客户合作调整客户自定义阻止规则。不同的客户有不同的风险偏好和风险承受能力,这些因素会对阻止某些合法流量和承担部分欺诈成本之间的权衡造成影响。高级持久攻击可能涉及对自定义策略引擎规则的多次调整。

入侵检测

OSSEC 入侵检测系统定期自动检查日志中的可疑活动。新的帐户创建欺诈保护包括基于验证码和短信的身份验证 - 客户可以选择实施的选项,作为针对脚本帐户创建攻击的升级身份验证保护措施。Akamai Identity Cloud 通过关联特定于登录和注册的数十个自定义指标,以及通过识别特定于客户的独特流量模式的异常,主动监控爬虫程序/恶意活动。

Akamai Identity Cloud 安全管理计划

有关信息安全管理系统 (ISMS) 的详细说明,请与您的客户团队联系以查看 Akamai Identity Cloud ISO 27001、AT-101 和 SOC 2 类型 2 报告。概述总结如下。

信息安全管理系统

Akamai Identity Cloud ISMS 管理策略正在定义和支持实施的 ISMS。可根据请求,基于 NDA 提供 ISMS 手册。信息安全管理委员会 (ISMC) 负责确保 Akamai Identity Cloud 通过实施 ISMS 手册中定义的策略和程序,遵守 ISO 27001:2013 和 ISO 27018:2014(云中的 PII 保护)标准。

ISMC 由 CEO、CFO、CTO、工程和运营副总裁、总法律顾问和 CSO 组成。ISMS 还确保维持标准,以继续符合云安全联盟(CSA 星级)2 级认证、HIPAA/HITECH 合规性、隐私盾认证、OIDC RP 认证、SOC 2 类型 2(安全性、可用性、机密性)合规性和 TRUSTe 认证。

所有安全策略和程序均每年经过一次或多次(根据风险确定)审核和批准。风险评估补救可能会导致策略和程序更新,以确保它们保持有效。

Akamai Identity Cloud ISMS 的有效性通过季度和年度指标来衡量,这些指标准确反映了 Akamai Identity Cloud 安全系统和控制措施的实施和运行状态。所有工作人员在入职时都会接受安全和隐私培训,之后每年也会继续接受此类培训。

访问控制

对于 Akamai Identity Cloud 服务,将严格控制对相应系统的访问。如果角色变更和员工离职,将移除此访问权限。每季度进行一次访问权限审查。我们使用 VPN、SSH 和多因子身份验证来控制对生产系统的访问。

备份

客户数据始终同时写入单独可用区域 (AZ) 中多个数据中心(热/热备份)中的加密数据库。每天进行时间点加密备份,备份存储在跨 AZ 的多个数据库中,并通过每 300 秒进行一次增量备份保持最新状态。

业务连续性

Akamai 每年测试和审查业务连续性策略。由于 Akamai Identity Cloud 在每个区域的所有可访问 AZ 中实施了高可用性部署模型,要中断业务连续性,需要发生区域性灾难并同时影响区域中的所有 AZ 以及每个备份实用程序。

不存在单点故障。以美国东部 AZ 为例,单独的数据中心必须出现 30-60 个并发故障才会中断业务连续性。用于将客户从一个地区转移到另一个地区的 Akamai Identity Cloud 服务操作手册已经过全面测试 - 尤其是当罕见出现包含多个独立数据中心的整个区域出现同时丢失的情况时。“设计中考虑到安全和隐私”是 Akamai Identity Cloud 的核心原则之一。整个软件开发生命周期中都考虑到了安全和隐私。

防火墙和 Zero Trust

除了针对从任何外部源进入内部数据网络的所有数据的行业标准防火墙外,Akamai Identity Cloud 还使用充当虚拟防火墙的安全组来控制入站和出站流量。

安全组提供了基于网络的阻止机制,防火墙也提供了此机制。但是,安全组更易于管理。Akamai Identity Cloud 还构建了 Zero Trust VPC 模型,以进一步保护您的数据。Zero Trust 是一种安全模型,通过消除信任假设来解决以防御层为中心的失败策略的缺点。借助 Zero Trust,任何实体(包括用户、设备、应用程序和数据包)都不具备默认信任 - 无论它是什么,以及它在公司网络上或相对于公司网络的位置。有关更多详细信息,请参阅 Akamai Identity Cloud 高级基础架构文档

字段级别数据范围访问

Akamai Identity Cloud 直接在其 CIAM 平台中专门设计了范围访问授权。这种独特设计和可自定义的功能可确保在注册用户提交敏感数据的情况下,此类数据仅用于其提交的目的。此字段级别范围访问可用于您选择设置的许多配置文件数据库。

通过范围访问,组织可以为查询用户记录时使用的每个客户凭据授予精细的字段级别访问权限。这对降低客户数据泄露风险至关重要。范围访问提供了无与伦比的能力,可以为组织的网站、移动应用程序、第三方应用程序、平台和服务中的其他系统(构成营销技术堆栈)授予正确的数据访问类型。它甚至可以应用于可能需要部分用户数据以代表公司开展营销活动的数字代理商。客户还可以选择对写入同一数据库的不同站点制定不同的访问范围。

加密

Akamai Identity Cloud 会对传输中的所有数据进行加密。该平台利用加密来保护数据和虚拟机映像,以便在网络之间和虚拟机管理程序实例中传输。传输中的所有数据都使用最新的 TLS 加密标准(2048/256 位密钥)和 TLS1.1 或更高的安全协议。Akamai Identity Cloud 为静态数据提供全盘加密,并通过确保每个接入点(工具、站点、应用程序、代理等的 UI/API)具有最小权限,保证只有必要的数据字段才能受到访问,从而进一步保护数据。来自多 AZ(每个最多 10 个独立数据中心)的所有数据副本和备份也都经过加密。

其他数据保护

  • 抽象层:Akamai Identity Cloud 服务在数据访问权限之上提供了一致的抽象层。底层数据存储旨在实现一致性、可靠性和数据隐私,并针对性能进行优化。
  • 其他访问控制:符合 OAuth 2.0。
  • 保护数据:每个 Akamai Identity Cloud 部署及其相关数据都在其自己的逻辑离散生产环境中隔离。应用多租户安全控制(包括唯一会话令牌、可配置的会话超时值和密码策略)以防止未经授权的访问。
  • 范围仪表板访问:Akamai Identity Cloud 使用角色来强制执行仪表板访问。客户可以为客户管理员配置 2FA。客户管理员控制对其 Akamai Identity Cloud 应用程序的数据访问。
  • 数据中心安全性:使用视频监控、入侵检测系统和其他电子手段的专业安全人员控制对处理客户数据的 Amazon Web Services (AWS) 数据中心进行的物理接触 - 无论是在周边还是在大楼入口点。授权 AWS 员工使用多因子身份验证机制来访问数据中心楼层。集中管理的防病毒保护有助于防止有害的软件代码影响我们的服务或客户数据。
  • 模式验证:Akamai Identity Cloud 在部署时验证客户模式,以确保密码等敏感数据元素不会以明文形式存储。
  • bcrypt 哈希算法:密码保护的成本系数为 10。
  • 输入验证:用于数据完整性。

扫描

Akamai Identity Cloud 每年都会与业界公认的第三方合作,进行独立、公正的网络渗透和应用程序漏洞测试。客户可以按要求查看测试报告。应用程序漏洞测试基于 OWASP、SANS、CWE 和 WASC 标准。