概述
Akamai 支持并保护网络生活。每一天,都有不计其数的人与自己喜欢的品牌建立联系、在线购物、畅玩游戏、分享想法、管理资金等。他们或许不知道,但 Akamai 就在他们身边,为他们提供快速、可靠且安全的体验。
Akamai 很清楚安全对现代网络生活至关重要,并且我们始终致力于保护我们的服务以及公司基础架构中使用的客户数据。为此,我们实施了一项全面的信息安全计划,并由 Akamai 自己的安全产品和服务等出色的安全技术提供支持,以全面防范当前和未来的威胁。
责任共担模式
客户可以控制 Akamai 解决方案的很多方面,因而客户决策会对安全产生影响。因此,Akamai 采用一种责任共担模式,明确了参与交付和使用我们产品与服务的各方的角色及职责。
在此模式下,客户负责利用适合其数据敏感性的 Akamai 服务,并正确地配置这些服务以应对与服务应用相关的风险。例如,使用内容交付解决方案时,客户必须选择适合于其应用场景的 TLS 设置和缓存策略。使用云计算解决方案时,客户必须采取措施来保护他们在 Akamai 平台上运行的工作负载,包括对底层操作系统和软件堆栈进行安全管理。同样地,客户有责任保护他们与 Akamai 服务集成的自有基础架构的安全。
相应地,Akamai 有责任保障为我们所有产品提供支持的 Akamai Connected Cloud 平台的安全开发和运行,从而确保 Akamai 服务不会违反正确客户配置所规定的安全和隐私属性。
有关责任共担模式的更多信息可以在 Akamai 信息安全合规 网站上提供的 PCI DSS 合规性责任矩阵等地方找到。我们将在下面详细介绍 Akamai 信息安全计划,并说明 Akamai 如何履行自己的安全职责。
信息安全治理
Akamai 设立了一个指定的信息安全部门 InfoSec,由首席安全官 (CSO) 领导。这个安全专家团队的任务是维护 Akamai 的信息安全计划并监督 Akamai 安全保障的方方面面。
虽然 InfoSec 是一个独立部门,但每天都会与公司的工程、服务、法务和人力资源等其他部门进行密切协作,以管理公司的整体安全风险状况。
Akamai 拥有完善的治理结构,可以为 InfoSec 识别、评估和抵御安全风险的能力提供支持。Akamai 的信息安全委员会 (ISC) 是一个重要的安全治理机构,由 CSO 担任主席,成员包括整个公司的内部高管级利益相关者。ISC 会定期与高级管理层交流风险信息,为关键决策提供依据。此外,Akamai 董事会的成员还会定期收到来自 CSO 的安全态势更新。
功能
Akamai 的信息安全计划旨在保护 Akamai Connected Cloud,进而保护我们代表 Akamai 客户处理的数据以及 Akamai 的内部企业系统、数据和人员。
Akamai 采用的一些关键安全功能如下。
风险管理。InfoSec 风险管理团队会持续监控 Akamai 的安全风险态势,同时通过我们全面的风险管理流程识别、评估和跟踪新兴及已知的风险。风险在中央风险登记册中进行跟踪,超过公司风险承受能力的风险的状态会定期通报给上述安全治理机构,并且相关的解决措施会与各自的风险负责人进行协调。
持续监控。InfoSec 下属的全球安全运营团队 (GSO) 会通过由自动化和编排技术支持的专业团队提取并关联来自多个数据源的安全信号,以持续监控 Akamai 系统。网络运营指挥中心 (NOCC) 通过对 Akamai 系统的性能、容量和技术问题迹象进行持续监控来完善 GSO 的能力。这两个团队都分布在多个大洲,并具备故障转移能力。
漏洞管理。InfoSec 下属的威胁和漏洞管理团队负责监督 Akamai 的全面漏洞管理流程,同时负责制定总体策略和指标、评估漏洞的严重性及影响,以及指导系统所有者将漏洞准确映射到其资产并及时修复问题。
事故管理。Akamai 有强大的事件管理流程,旨在确保有适当的人员来处理技术及安全事件。该流程分为三个阶段,包括遏制直接威胁并评估具体情况以针对眼前的问题成立由主题专家组成的工作组、根据团队的解决标准进行全面修复并验证,最后是根据所学到的经验教训进行事件后回顾和长期策略、流程及控制措施改进。
威胁情报与安全研究。Akamai 的安全专家负责监控、分析和应对新兴威胁。他们受益于利用 Akamai 对互联网流量和形式的独特监测能力,这归功于 Akamai 是全球分布广泛的大规模云计算平台。Akamai 与行业合作伙伴、执法机构、特殊利益团体、专业企业、标准机构、学术机构及开源社区进行协作,以增强自己的威胁情报能力。此外,Akamai 还通过自己的内部研究能力为安全文献做出贡献并与社区分享新颖的见解。
安全开发。安全开发是 Akamai 所有系统所有者与工程部门共同承担的责任,并且 InfoSec 下属的产品安全团队负责在此过程中为系统设计人员和开发人员提供专业安全知识。除了监督整个公司中普遍适用的安全设计、安全编码和安全测试要求,以及响应按需提供实操指导的请求之外,产品安全团队还会向开发团队提供与其进行一对一合作的安全架构师,在早期设计阶段进行威胁建模,以及后续指导开发人员通过 Akamai 标准系统开发流程中的正式安全审查关口。Akamai 的内部渗透测试团队可以通过针对特定系统的对抗性测试演练来完善这些能力。
安全标准合规。Akamai 会接受定期审计,以证明符合 ISO 27001、ISO 27017、ISO 27018、ISO 27701、PCI DSS、SOC 2 Type 2、FedRAMP 以及 Akamai 信息安全合规 网站列出的很多其他标准。此外,Akamai 还会按照这些安全标准的要求定期接受由合格的第三方供应商进行的漏洞扫描和渗透测试演练。
客户信任。InfoSec 下属的客户信任团队是一个由安全专家组成的专业团队,他们会与 Akamai 的客户进行交互,以确保客户的安全问题得到解答。客户信任团队可以讨论 Akamai 信息安全计划的所有方面、架构、加密技术的使用以及其他低级别技术细节和其安全影响。客户信任团队还会就现场审查与希望更深入了解 Akamai 运营情况的客户进行协调。
结论
Akamai 很荣幸能够成为遍布各个行业和地区的数千家客户值得信赖的合作伙伴,并提供安全、可靠的云服务来提升客户的在线形象、安全和性能。Akamai 不断在安全功能和创新方面进行投资,以抢先一步防范不断演变的威胁形势并保护我们的平台、客户以及客户的最终用户免受网络攻击。