©2024 Akamai Technologies
重新定义医疗服务体验
Apree Health 由 Castlight Health 和 Vera Whole Health 合并而成,公司使命是改变患者获取和接受医疗服务、服务方提供医疗服务,以及雇主和其他购买者支付医疗服务费用的方式。在利用技术工具和独特的临床服务模式来加速支付和医疗服务转型的过程中,该公司会接触并处理个人健康信息 (PHI)。为确保快速、安全地共享这些信息,Apree 采用了来自信赖的合作伙伴 Akamai 的解决方案。
Akamai 是行业巨头,而我们公司的规模相对较小,但 Akamai 为我们提供了符合需求的解决方案,并给予了足够的时间和关注,按照最佳实践增强了我们的安全态势。
Apree Health 信息安全高级经理 David Quisenberry
实施自上而下的安全方法
Apree 为合作伙伴及其员工提供健康导航平台和移动应用程序,帮助患者找到优质实惠的医疗服务、获取健康计划详情和理赔资料、管理补助金,甚至可以追踪他们的健康状况。由于该公司的平台和应用程序由 100 多个 API 合作伙伴集成和 1,000 多个第三方客户集成提供支持,因此植根于最佳实践、自上而下的安全意识文化对他们而言至关重要。
Apree 信息安全高级经理 David Quisenberry 解释说:“要想达到更好的健康成果,唯一的方法是信息共享。但这些信息高度敏感,必须受到保护。”
当前攻击类型和趋势复杂多变,混杂有社会工程攻击和大规模利用爬虫程序发起的 API 攻击,因此信息安全至关重要。要想在这样的环境中全面有效地解决安全问题,需要持续进行优先级划分和迭代,同时需要实施强有力的保护措施。
遗憾的是,Apree 缺少合适的解决方案,无法为其安全运营 (SecOps) 团队提供这样的支持。他们的基础 Web 应用程序防火墙向 SecOps 团队报告了潜在问题,同时提示他们手动开展调查并确定最佳响应措施。在公司的移动应用程序遭遇撞库攻击时,该团队承受着巨大的压力,进行调查、报告潜在影响以及采取相应措施所需要的时间和费用让他们不堪重负。
Apree 高级信息安全分析师 Cat Schwan 表示:“这就像是在玩打地鼠的游戏。我们无法及时增强公司的安全态势。”
保护 API 生态系统
Apree 的首要任务是防止 API 攻击并阻止相关的漏洞利用。通过配置符合需求的 Akamai 应用程序和 API 保护解决方案,他们解决了这个问题。在 Akamai 的帮助下,该公司的安全团队为 API 上用于 POST 请求和合作伙伴集成的 HTTP 标头层增加了一层安全保护。
同时,Akamai 还保护 Apree 及其移动应用程序免受大量爬虫程序的侵扰,减轻了安全团队的工作负担,让他们更加安心。现在,Apree 已有 18 个月未遭遇任何撞库攻击,与解决这些漏洞利用相关的间接成本已显著降低。同样重要的是,Apree 能够充满信心地确保消费者、雇主与合作伙伴的敏感数据安全无虞。
通过深度防御方法,Akamai 让我们从根本上杜绝了撞库攻击。我们的 API 生态系统现在非常安全,这让我们的架构师如释重负。
Apree Health 高级信息安全分析师 Cat Schwan
Quisenberry 补充道:“对我们来说,关键是要让用户能够快速、安全地访问我们的应用程序和医疗服务指南。在 Akamai 的帮助下,这一点得到了可靠的保障,我们的工程团队对此感到非常高兴。”
按需扩展
虽然防范 API 攻击促成了 Apree 与 Akamai 的合作,但这次合作为前者带来了很多好处。
在与波士顿儿童医院 (BCH) 和美国疾控中心 (CDC) 合作发布免费新冠疫苗查找程序时,Apree(当时是 Castlight Health)对安全防护的信心和按需扩展的能力发挥了关键作用。BCH 选择让 Castlight 来构建技术基础架构,为该解决方案提供更新后的新冠疫苗数据,这转化成了 Castlight 发布的第一款无门槛工具。Akamai 的全球平台确保了该疫苗查找程序能够自动显示准确的最新信息。
Schwan 表示:“Akamai 保护了我们的后端免受未授权网络爬虫的侵扰,并让我们有能力应对与这个高风险、高知名度项目相关的巨大流量。这也确保了我们的应用程序不会被盗用。”
对威胁进行快速识别和响应
Apree 实施的应用程序保护功能(包括 DDoS 攻击防护、源站防御和高级爬虫程序检测)与其入侵检测系统协同工作,可实现快速威胁检测并提供相关情报。通过将 Akamai 解决方案作为这个堆栈的一部分,该公司能够更快、更轻松地了解攻击媒介。
例如,在 Apree 发现注入攻击时,Akamai 提供了即时保护和对威胁环境的监测能力。Quisenberry 表示:“Akamai 为我们提供了确定漏洞优先级所需要的见解,并在五天内为我们 98% 的虚拟机安装了补丁。”
实现安全自动化
此外,在 Apree 为进一步巩固其安全基础而迁移到 Google Cloud 的过程中,Akamai 也发挥了不可或缺的作用。Schwan 表示:“在我们改变运行环境时,Akamai 让迁移工作变得更容易。”
在与 Castlight 合并期间,Vera Whole Health 的 Web 应用程序拥有了更强的安全性,这标志着合作取得初步成功。Schwan 继续说道:“我们非常轻松地将这些应用程序整合到了我们的环境中。”
实际上,Google Cloud 和 Akamai 都将实现 SecOps 团队所预想的自动化,例如在进行稳健的 API 调用时。Schwan 补充道:“Akamai 支持自动变更控制对于我们来说难能可贵,这让我们的团队能够设置安全控制措施并呈现相关证据。”
Akamai 减轻了安全团队的压力,让他们能够专注于完善安全措施,从而让 Apree 能够自信地迈向未来。Quisenberry 总结道:“Akamai 为我们提供了构建灵活的自动化安全架构所需要的技术、遥测数据和见解。”
Apree Health 简介
Apree Health 的使命是打造第一款端到端医疗服务解决方案,重新定义医疗服务体验并改变患者获取和接受医疗服务、服务方提供医疗服务,以及雇主和其他购买者支付服务费用的方式。为此,Apree Health 将出色的导航平台与数据驱动的见解、先进的基础医疗模式以及基于价值的风险模型结合在一起,以达成积极的健康成果并改善服务对象的生活。
Akamai 简介
Akamai 支持并保护网络生活。全球各大优秀公司纷纷选择 Akamai 来打造并提供安全的数字化体验,为数十亿人每天的生活、工作和娱乐提供助力。 Akamai Connected Cloud 是一种大规模分布式边缘和云平台,可使应用程序和体验更靠近用户,帮助用户远离威胁。 如需详细了解 Akamai 的云计算、安全和内容交付解决方案,请访问 akamai.com/zh 和 akamai.com/zh/blog,或者扫描下方二维码, 关注我们的微信公众号。