Akamai 将收购 Guardicore 以扩展其零信任解决方案并帮助阻止勒索软件。 阅读全文

播客:身份感知代理、VPN 和业务连续性

简介

Akamai 安全战略部首席技术官 Patrick Sullivan 与信息安全专业人士必听播客 Risky Business 的主持人 Patrick Gray 开展深度探讨。他们两人讨论了身份感知代理,为什么在为新的外部用户提供更多内部应用程序时身份感知代理的影响越来越大,以及 Akamai 过去数周在其网络上看到的状况。

Akamai 正在帮助全球客户保护和管理其远程员工。

脚本

Patrick Gray:
大家好,欢迎收听本期 Risky Business 播客,本期是与 Soap Box 联合制作的特别版。我是 Patrick Gray。我们在 Risky.biz 制作的这些 Soap Box 播客完全依赖于赞助。这意味着,今天收听本期 Soap Box 特别版的每位听众都需支付一定的费用。但是没有关系,因为我们选择的赞助商都很棒、很有趣,有许多非常有趣的东西值得讲述。

本期 Soap Box 播客由 Akamai 为您呈现。有趣的是,其实他们去年就预订了这个播客档期。但几个月后,我们突然陷入这场可怕的危机,而 Akamai 正在积极应对。显然,目前全球正在经历一场巨大的转变。如今有很多人被困在家里,只能通过互联网交流。随之涌现出大量流量。Akamai 的一系列服务正在经历严峻的考验。

除了通过 CDN 和 DDoS 缓解之外,Akamai 还是率先提供身份感知代理的公司之一。现在,许多公司都在使用身份感知代理来为新的外部用户提供内部应用程序。在当前形势下,许多公司在这方面有着迫切的需求。因此,我们自然会在本期播客中讨论这一点。我的意思是,这种方法明显优于为每个人调配 VPN 访问权限,然后采用奇怪的“自由访问”方式,让用户一窝蜂涌入您的 LAN。正如您将听到的那样,这些身份感知代理尤其适合提供通常使用浏览器访问的任何内容,包括内部应用程序。

[00:01:45.29]
对于非基于 Web 的应用程序(比如胖客户端应用程序),它确实变得稍微复杂一些。我们将会探讨这个话题。但请注意,通过 VPN 集中器(将您的VPN 网关用作您的VPN 集中器)使用这些类型的代理时,会面临另一个问题:DDoS 攻击变得十分容易。但是,如果想要击破 Akamai 的防御,那就会很困难。因此,攻击者很难通过让您离线来索取赎金。我们将在访谈中探讨这些内容。悲观点说,我怀疑,如果这场危机继续恶化下去,那么,攻击人们的 VPN 网关来勒索赎金将成为我们必须慎重对待的问题。我们将在本次访谈中探讨这些话题,我想,我现在应该告诉大家今天的嘉宾是谁。

今天的嘉宾是 Akamai 安全战略首席技术官 Patrick Sullivan。他参加了这期访谈,并首先向我讲解了身份感知代理的实质。下面欢迎 Patrick Sullivan。

[00:02:38.64]
Patrick Sullivan (Akamai):
我们的中心目标是将用户从特权网段中移出。事实一再证明,很难为特权网段提供防御。所以,我们不能 -

Patrick Gray:
这些功能主要用于终结 VPN 访问。这是设计思路,对吗?

[00:02:55.41]
Patrick Sullivan (Akamai):
是的。这是一种不同的访问模型。不是根据您在网络拓扑结构中的位置来判断为您提供的访问权限,也就是说,您的访问权限与您在网络拓扑结构中的位置无关。

重要的是您的身份、您完成强身份验证的能力、您的设备状态以及公司中的最低权限角色。比如说,作为技术用户,我将获得间接访问权限。代理将检查和记录我的所有请求,请求可能是交付某个软件,或访问生产力套件,但我无法访问公司中的敏感 HR 应用程序或财务应用程序,因为我的角色表明我不具备任何正当的访问理由。

总而言之,如果您使用的是典型的 VPN 并且运行端口扫描,将会发现许多端口处于开放状态,许多潜在恶意 IP 地址连接到您的网络,让各种风险滋生。使用 EAA 模型时,如果您运行端口扫描,本质上,您看到的是了解您身份的代理的 IP 地址,该代理将允许您间接访问您的角色所需的应用程序。

[00:04:12.11]
Patrick Gray:
有点像是身份感知和应用程序感知。整体思路是:我作为用户,可以通过双重身份验证进行 Okta 单点登录 (SSO),然后,Okta 告知代理将我连接到可能驻留在 LAN 上的各种应用程序。是这样吧?所以这种方法可以将传统应用程序从公司内部迁移到外部,并且使您不会直接遭到黑客攻击。总结下来就是这样,对吧?

[00:04:42.0]
Patrick Sullivan (Akamai):
是的。本质上,您通过安装某种软件来发布应用程序,即安装一个连接器,连接器在托管应用程序的 LAN 中的虚拟机上运行,这个 LAN 可以是您自己的主机代管环境,也可以是基础架构即服务提供商的环境。该连接器的作用类似于二极管。它可以对外发起连接,本质上,这让您拥有了一个不需要接受入站连接的微型防御层。

您只需重复使用该出站连接,然后最终用户可以连接到位于网络边缘的身份感知代理,这将首先确保在建立任何连接之前进行强身份验证。这可以是本机或第三方多重身份验证 (MFA)。

然后,我们将了解从何处获取身份信息。可能是 IDaaS(身份即服务),也可能是一个本地目录,然后从该位置强制实施针对这些应用程序的最低权限间接访问控制。所以在这个模型中,您并不在网络上。网络上没有分配权限。即使是经过身份验证的用户,也是如此。您已经被外部化。真正尝试消除用户横向移动带来的威胁,防止公司应用程序的软肋被攻击者攻破。

[00:05:57.27]
Patrick Gray:
这实际上是应对 2020 年情况的一种策略,这一点让我很欣赏。作为一种现代化的方法,它允许我们在访问传统应用程序的同时,仍能使用其他一些我们热爱的强大功能,例如,现代化的 CASB、经过风险评分的身份验证以及类似的功能。

我的意思是,如果将这些技术结合起来使用,可能会取得更好的效果,您可能会实现更好的身份验证和用户信任度,即使他们从公司外部进行连接也是如此。

我们来谈谈本质。这种技术的问题一直是,让这一切自动运行并不像听起来那么简单。现在,您正在讨论的这款产品,我觉得它已经在 Akamai 的产品组合中存在了大概四年。如今,这一领域的竞争越发激烈。从 Microsoft 到 CloudFlare,再到 F5,许多人都在从事这方面的工作。但是,为什么您不尝试说服我这项工作有多么简单?我想,您在过去数周内本来会启动很多项目。尝试说服我吧。

[00:07:06.84]
Patrick Sullivan (Akamai):
是的,那段时间确实很忙。我认为,您经常会与某些公司交流,他们会充满信心地表示:“我们希望将互联网用作我们的企业 WAN,并将安全措施上移到应用程序层。”许多人在 2020 年发现自己面临这种情况,在这种情况下,无论他们喜欢与否,远程访问扩展都是该访问模型至关重要的一部分。

所以在我看来,Akamai 的关键是要在一个非常独特的平台上构建该功能,然后借助此平台在网络边缘截取这些请求,因为边缘存在很多容量。我们 20 年来一直在从事这方面的工作,致力于加快这些事务,提高最终用户的性能、可用性、规模,等等。还包括端口和协议支持。因此,不仅要支持 Web 应用程序和 RDP,还要在同一模型中支持任意端口和协议。

[00:08:04.68]
Patrick Gray:
现在变得越来越有趣了,对吧?任何人都可以整合出某种产品,经过 Web 代理并与所有 CASB 代理进行集成,因为一切与 Web 有关,是吗?就像通过 Web 提供的任何东西一样,Web 代表着简单。但是,当开始访问这些奇怪的传统胖客户端企业应用程序时,一切开始变得有点玄妙,是这样吧?我想,当您尝试这样做的时候,会遭遇很多阻碍。对吗?

[00:08:31.97]
Patrick Sullivan (Akamai):
是的。可能是这样,一般说来是这样的。您通常希望首先将 Web 应用程序或 RDP 应用程序移出,就像您说的,这些应用程序的迁移工作在目前很容易完成。当使用具有老式身份验证、已使用 40 或 30 年的胖客户端应用程序时,我们通常会在这种情况下将客户端向下推送至端点,以便截获这些古怪的端口和协议,并在内部使用正确的语言来与其他身份验证协议进行通信,同时向客户端提供更多的 SAML 前端。在代理的内部隐藏着一些复杂的问题。代理使您能够将会话一分为二,让您能够确保代理任意一侧的所有人都感到满意。

[00:09:23.42]
Patrick Gray:
您要做的,是否是为访问此应用程序的人员提供 RDP 会话窗口,并使他们能够在窗口内访问此应用程序?或者,您是否真的必须将该胖客户端推送到网络外部的端点,以便它们可以通过此代理传入流量?听起来好像开始有点混乱。

[00:09:47.14]
Patrick Sullivan (Akamai):
是的,在某些情况下,如果这些类型的传统应用程序是胖客户端,您会希望保留该胖客户端。如果是可行的替代方案,您可以在浏览器窗口中显示 RDP。您在这里确实拥有一些架构灵活性。这取决于您想要采用的方法。

[00:10:05.76]
Patrick Gray:
是的。人们过去采用了什么方法?现在他们怎么做?我想,会有一些项目正在进行,并且正在开展这些工作。

[00:10:16.39]
Patrick Sullivan (Akamai):
我认为,随着远程办公的增加,正视这种模型的人也在大大增加。您必须重新审视远程访问策略。我觉得在某些情况下,这是对人们已有策略的一种加速。在有些情况下,人们可能会尝试通过 VPN 补充他们正在开展的工作,以迅速提升远程访问容量,从而解决公司数据中心容量方面的一些瓶颈,对吧?这是一种非常简单的云模型利用方法,其中,采用了基于使用量的容量。您不一定需要规划通过远程访问进入的用户百分比。这个容量规划难题在这种模型中没有那么显著。

[00:11:11.88]
Patrick Gray:
现在我们来谈谈 DDoS,之前也提到过这个话题。我猜测,在 Akamai 平台上,连接的实质是,您只是连接到 Akamai 边缘网络,然后再进入您的网络核心,我猜,这会为您提供一些固有的 DDoS 保护,对吗?这是因为,为了阻止我访问您的边缘网络,攻击者需要将您的网络击垮。这有点困难,因为 Akamai 规模很大。

Patrick Sullivan (Akamai):
是的。我的意思是,我们看到出现很多流量,因为人们在家工作,被困在家里进行娱乐活动。

就我们看到的出站流量而言,据我所知,去年第 1 季度的流量接近每秒 70 TB。今年第 1 季度,我们的数据接近每秒 160 TB。因此,我们正在向外推送这些出站流量,这意味着在入站非对称侧,我们有相当多的容量来吸收 DDoS。

如果您还需要保护您拥有的某些远程访问解决方案,我们还可以通过 BGP 拦截路由,以便我们可以从传入您拥有的任何远程访问套件的干净流量中清除 DDoS。人们一定会记住这一点,因为在当前形势下,远程访问现在是企业的重要组成部分。

Patrick Gray:
是的。在目前,您可以访问大量流量,是吧?您看到了流量的增加。Akamai 也发现了这一趋势。那么,目前的形势到底如何?我的意思是,您是否发现了大量攻击?您是否看到攻击者行为的变化?有人离开吗?您能告诉我们现在的具体情况吗?

Patrick Sullivan (Akamai):
一如既往。在大多数情况下,我认为这些攻击始终存在。我认为某些技术发生了改变。在使用这场危机作为恶意软件分发的诱饵方面,有过很多报道。我认为,我们与精明的安全团队进行了许多交流,他们知道如何像攻击者一样思考。

之前有报道说,有些依赖于远程访问的企业受到攻击。但我认为,我们必须变得主动。公司只是试图了解,鉴于目前对远程访问的严重依赖,攻击面是怎样的?我们是否需要重新审视它的形态,以及有哪些工具可以防止或阻止这些威胁?这些都是我们最近几周一直在进行的一些演练。

Patrick Gray:
您是否意识到,在人们实际运营业务方面,这将会产生一些积极的结果?因为我觉得,经历过这次危机,在一年后情况会有所不同,并且会一直持续下去,有些情况会变得更糟糕。很多事情变得糟糕,当然也有些会变好。您觉得,这次事件会给我们的工作方式带来一些非比寻常的积极影响吗?对我们的公司运营方式呢?不仅仅是技术,而是从更广泛的角度考虑。现在的感觉就像是正在经历一场巨大的变革。

Patrick Sullivan (Akamai):
毫无疑问。我认为,在技术方面,许多公司一直在向前发展,比如开发 Zero Trust 访问策略和其他技术。一些属于长期架构的安全决策可能会加快实施步伐。这可能是这次危机带来的积极结果。另一方面,我觉得随着人们应对这些挑战,我们的系统将变得更加强大,而且从远程访问的角度来看,这可以真正提高工作效率。在短期内,这会导致一些 IT 难题,但是我们必须保持乐观的心态:这在另一方面也会带来潜在的好处。

Patrick Gray:
我们现在可以看到,一大群员工都在家办公,他们以前并非如此。许多公司已经能够外出并保障新硬件的供应,例如,购买一整套 Chromebook 或翻新的笔记本电脑,但同时我们也在使用各种硬件。我感觉很多人会使用自己的硬件和系统来访问公司资源。目前的现状确实如此吗?您经常听到这种消息吗?

Patrick Sullivan (Akamai):
我认为是这样的。我们听说许多人希望通过 RDP 访问办公室里的计算机,以及诸如此类的内部资源。在我看来,身份感知代理的关键在于能够做出某种基于环境的安全决策,是这样吧?

因此,就像我们之前讨论的,重点在于您的身份,以及您对于访问特定应用程序的需求。但除此之外,您可以做出的其他一些决策包括:
-“如果不再使用操作系统 (OS) 防火墙,我们愿意被动或更加主动接受的设备状态是什么?”
-“您是否愿意授予访问权限,比如接收 HR 发来的与在家办公政策相关的邮件?但是,如果您要使用更敏感的财务应用程序,也许就会被阻止?”

Patrick Gray:
没错,人们正在从自带设备 (BYOD) 调配公司资源的访问权限,您正在以某种方式衡量这些设备的系统运行状况。

[00:16:29.45] 如果您没有在这些系统上运行客户端,您会怎么做?Duo 的工作方式是捕获浏览器代理字符串,并将其视为整个系统运行状况的代理。但 Akamai 的方法是什么?也是类似的方法吗?

[00:16:42.83]
Patrick Sullivan (Akamai):
是的。如果您没有客户端,此过程将是被动的。显然,这些东西会带有欺骗性。当您有客户端时,您可以进入该客户端,并更严格地了解其中的更多变量。因此,拥有客户端的能力使您能够建立更加深入和清晰的理解。但在没有其他任何东西的情况下,您会遇到会话中出现的被动元素。

[00:17:08.3]
Patrick Gray:
您是否有客户将 Akamai 的客户端推送到员工拥有的硬件上?现在会发生这种情况吗?

Patrick Sullivan (Akamai):
我认为这是企业必须做出的决定,即他们是否愿意通过移动设备管理 (MDM) 来完成这种推送?我还没有大量看到这种情况。我认为,现在您仍然需要采用传统的托管与非托管策略。

Patrick Gray:
但是,在他们可以通过 MDM 进行推送之前,他们需要将 MDM 实际推送到用户自己的个人设备上。如果我是员工,我可以想象在自己的硬件上以员工身份安装 Akamai 客户端。但我不可能安装 MDM。

Patrick Sullivan (Akamai):
是的。我还没有看到这种情况大量出现。除非是,许多公司采用了你们的移动设备,那就会出现这种情况。但就您的问题而言,我还没看到太多人使用个人工作站对这些设备执行 MDM。

[00:18:04.66]
Patrick Gray:
您目前是否看到过成功案例?您能否想到一些您参与过的案例研究,其中的公司必须非常快速地转为在家办公,并且他们能够使用这些技术实现这一目标?比如,一家公司能够最快迁移的组件是什么?

[00:18:18.86]
Patrick Sullivan (Akamai):
是的。就您的问题而言,我认为是 Web 应用程序。通常,人们首先会迁移这些资源。这是您做的第一件事。您可以快速完成迁移。我认为,对于胖客户端应用程序,这需要更长时间。

[00:18:31.92] 通常,这是第二阶段的项目,快速完成迁移后,您可以着手迁移更加透明的 Web 和 RDP 类型应用程序。

[00:18:43.73]
Patrick Gray:
胖客户端面临的难题有哪些?你们采用了不同的方法将胖客户端软件实际放到端点上,然后调配该端点以访问该网络资源,接着直接从端点进入内部通道并访问企业,最后访问胖客户端应用程序正常工作所需的资源。这是一种方法。我喜欢您之前介绍过的另一种方法,就是设置某种 RDP 网关,客户端经过身份验证后访问该网关,然后继续进行身份验证以访问该胖客户端应用程序。

[00:19:21.23]
整个过程需要多长时间?是否有统一的方法来实施并加快这种策略?或者,是否应视具体情况而定,并且确实很棘手,因此需要执行一些开发工作?或者,如果您准备转到 RDP 类型的转换层,是不是很容易就能实现此目标?但您需要花一点时间来设置它?

[00:19:44.63]
Patrick Sullivan (Akamai):
各个公司的具体策略不同,但我们看到的是,在许多情况下,人们将客户端推送到他们的托管设备上。这是我们看到的最常见策略。

[00:19:56.66]
Patrick Gray:
这能让您以最快的速度达成目标,是吗?

Patrick Sullivan (Akamai):
没错。至少对于托管设备而言,是这样的。

[00:20:01.64]
Patrick Gray:
在本次访谈的早些时候,您介绍了 Akamai 网络上的流量与去年相比大幅增加。

[00:20:11.21] 具体情况是怎样的?我想,你们本来也要增加大量的容量,对吧?你们不是那种仅增加一些云资源的公司,而是另外一种。实际上是一家运营自有硬件的公司。在危机中尝试增加这些额外资源时,从 Akamai 的角度来看,具体情况是怎样的?

[00:20:35.09]
Patrick Sullivan (Akamai):
是的。我觉得,好消息是我们正处在一个相当重要的上升阶段。今年,有许多 OTT 视频服务正在推出。相比任何其他因素,这可以推动更多的流量。今年将迎来流量高峰,因为将会举办总统选举和奥运会。所有这些都是驱动大流量的因素。因此,我们一直在努力为这些大型活动做准备。这是业务的一部分。如果我们确实看到 OTT 发布、游戏发布以及类似类型的事件带来了预期的流量,我们也会随时进行扩展。

[00:21:18.89]
Patrick Gray:
从根本上说,你们过去一直在部署额外的容量。但我猜测,您现在需要开展额外的容量规划,因为现在可能在抵御 DDoS 攻击方面拥有更小的余量,对吗?

[00:21:31.67]
Patrick Sullivan (Akamai):
嗯,从流量的对称性来看,通常情况是这样的:当人们查看他们的银行余额、开展电子商务、使用 OTT 服务时,这些行为会带来较高的出站流量。入站流量则少了很多。在某些方面,如果您像我们一样具有一个对称的平台,入站流量就带有免费午餐的意味,对吧?因此,我们在为出站流量侧的高峰做准备,这让我们拥有相当多的入站流量空间来吸收这些类型的流量。但就您的问题而言,我认为我们始终在构建容量,始终尝试妥善应对 DDoS 威胁以及流量峰值(通常由各种事件引发)。

[00:22:15.02] Patrick Gray:Akamai 可能广为人知的是早期的 CDN、DDoS 缓解,等等。

[00:22:22.49]
但 Akamai 已创立了很久。我知道,你们过去托管过 Facebook 网站或 Facebook 的镜像。不知道现在是否仍在帮他们托管,但这好像是 Akamai 的传统吧。好像你们还在做很多事情。您认为 Akamai 的业务实际上是什么?感觉你们现在的业务有几十种。重要业务有哪些?您认为排名前三或前四的业务是什么?

[00:22:47.09]
Patrick Sullivan (Akamai):
是的,因此我们将自身的业务划分为三个业务部门。第一个是 CDN。第二个是加速动态 Web 应用程序。

[00:22:58.79] 第三个是安全性。保护 Web 应用程序、DDoS、API 保护以及我们谈到的这种身份感知代理模型。其中每个业务的规模大约为十亿美元,而安全业务增长最快。如果趋势继续,考虑到增长轨迹,安全业务将迅速成为我们最大的业务部门。

[00:23:29.03] 因此,我认为我们主要是一家安全公司,我们是这样看待自身的。

[00:23:34.94] 安全业务还使贵公司成为世界上卓越的安全公司之一。我很好奇,如果你们已经在安全业务方面实现了十亿美元的规模,我们还会看到其他什么业务?因为从信息安全公司的角度来看,你们公司的规模已经很大了。你们公司还会推出其他哪些服务?是否会踏足电子邮件交付和消息传递安全领域?还可能会推出哪些服务?

[00:23:59.6]
Patrick Sullivan (Akamai):
是的,这是肯定的。Web 应用程序吸引了大量关注。我认为这可能是 Akamai 为人们熟知的领域。

[00:24:07.33] 因此,我们将继续扩大我们在 Web 应用程序保护方面的业务。另外,我们还在进行一项转变,现在我们正在对客户端进行改造,使其能够位于 Web 供应链之前。实现现代化的 Web 应用程序。当然,有些调用会返回到您的数据中心。但是,您的调用中有一半可能会转到您的第三方小部件,因为所有表单劫持都在那里发生。这是我们在 2020 年推出的一项新型服务,从客户端运行时的角度监视 JavaScript 的行为。从而应对来自您的 Web 供应链的其他一系列威胁。这是我们在 2020 年关注的一个非常有趣的领域。

[00:24:59.02]
Patrick Gray:
好吧。非常感谢 Patrick Sullivan 能够在目前的危机形势下参加本期播客,本期节目由 Risky Business 和 Soap Box 联合制作。我很高兴看到这些新兴服务和新兴平台在我们真正需要的时候出现。

[00:25:16.63] 我期待未来聆听您的见解,看看从现在开始的一年里,当疫情逐渐缓解时,2020 年会面临什么状况。当疫情开始逐步结束时,审视我们所处的状态也是一件非常有趣的事情。再次感谢您的参与。我相信,我们很快会再次与您展开交流。

Patrick Sullivan (Akamai):
谢谢,Patrick。

Patrick Gray:
刚才参与访谈的嘉宾是 Akamai 的 Patrick Sullivan。非常感谢他的参与。非常感谢 Akamai 赞助本期由 Risky.biz 出品的 Soap Box 播客。希望您喜欢本期播客的内容。本周的节目到此结束。下周我会带来更多风险业务相关资讯。但在此之前,我还是你们熟悉的 Patrick Gray。感谢您的收听。