©2024 Akamai Technologies
保护云基础架构,赢得客户信赖
与许多企业软件提供商一样,Openlink 正在经历从本地交付和产品支持到公共云部署的 IT 转型。其 Openlink Cloud 平台是业内首个此类平台,通过 Microsoft Azure 推出。
Openlink 副总裁兼首席信息安全官 Michael Lamberg 解释道:“我们迁移到公共云有两个主要驱动因素。由于我们的软件是数据密集型处理软件,客户通常会针对峰值处理容量构建计算环境,这会带来极高的资本支出。通过迁移到公共云,我们可以在需求高峰期自动扩展应用程序,因此客户无需为他们未使用的容量付费。”
“其次,我们的客户通常会维护多个开发测试(开发)环境,以测试我们的软件和客户端插件的新版本。通过使用公共云,我们可以更轻松地根据测试需要启动环境,并在测试完成后将其移除,从而尽可能地降低成本。”
当然,迁移到云端会带来许多新的安全问题。Openlink 有责任保护其客户极为敏感和高度战略性的数据,以避免其成为恶意攻击者的目标。由于公共云中的网络安全采用责任共担模式(云提供商提供经过严格审计和认证的有限安全措施),终归还是云客户(在此案例中为 Openlink)为自己的数据和进程承担保护责任。
Lamberg 表示:“在保护大型基础架构的能力方面,主要的云提供商在过去 5 年中确实取得了长足的进步。与许多自行管理数据中心的企业相比,他们实际上做得更好。但是,每家企业都采用了共享信任模式。Azure 目前可能拥有全球顶级的安全认证,但这也无法保护我们免受自行实施的影响。”
Openlink 认识到需要使用第三方解决方案来增强 Azure 的安全基础架构,以便提供 Openlink 及其客户所需的自定义风险缓解级别。“我们必须能够向我们的客户证明,Azure 不仅能够言而有信,还在此基础之上添加了一个安全层,进一步加强了我们客户的云托管数据和环境的整体深度防御控制。”
Akamai Guardicore Segmentation
大约在 Openlink Cloud 推出前一年,Lamberg 引入了 Akamai Guardicore Segmentation,并立即看到该技术在增强公司云安全基础架构方面提供的帮助。Akamai Guardicore Segmentation 旨在填补多基础架构中的关键盲点,即设法突破防火墙和入侵防御系统的入侵者横向移动。该解决方案专注于检测东西向流量中的可疑异常情况,在其造成重大损害之前确认并遏制主动入侵。
Lamberg 解释道:“迁移到公共云迎来的当头一棒是,您所了解的关于网络和基础架构的一切都可能不再适用。这表现在两个方面:首先是您不再能够控制或访问已经由 Azure 虚拟化的基础架构堆栈的较低层。其次是我们过去依赖的分析基础架构运作方式的工具已经发生改变。所以,这是您必须要考虑的事情。您所有的传统网络技能和经验都不像以前那样有用了。现在,一切都完全不同了。”
如 Lamberg 所说,Akamai Guardicore Segmentation 就此成为了 Openlink 的关键安全技术之一。“该技术可确保我们正确锁定环境,同时也验证了 Azure 正在以一种非常高效和有效的方式完成其工作。”
增强的监测能力和诊断
随着迁移到基于云的虚拟化基础架构,Openlink 的安全团队面临着对应用程序活动进行高精度监测的挑战。该平台的一个主要功能是能够监测计算环境中的所有工作负载、数据流动和进程。
Lamberg 解释道:“虽然我们在公共云中,但并不是多租户方式。我们为每个客户构建了一个单租户环境。因此,我们需要全面了解每个客户的基础架构中的横向移动情况。”
Lamberg 列举了 Akamai Guardicore Segmentation 的两大关键应用场景。第一个涉及 DevTest,它为客户端提供了一种测试环境,使其能够快速轻松地启动虚拟机,从而在投入生产之前以各种配置测试 Openlink 的应用程序。借助 Akamai Guardicore Segmentation,一旦发生异常情况,Lamberg 的团队将能够通过监测所有进程,从主机视角快速清晰地分析情况。
Lamberg 表示:“可能不一定是安全问题。可能是设计或配置缺陷,或者客户端意外加载了一些恶意软件,而我突然发现某个命令和控制连接试图断开。借助该解决方案,我能够立即隔离此异常情况,并足够清楚地了解具体情况。”
Akamai Guardicore Segmentation 的第二个应用场景是 Openlink 对客户支持的生产环境的管理。Lamberg 表示:“虽然我们的应用程序很复杂,但它具有极强的确定性。所以,我了解理当在支持客户端的每台服务器上运行的所有流和进程。如此一来,便可为其环境生成基线。如果 Akamai Guardicore Segmentation 发现基线之外的进程或数据流动,我会立即收到警报。”
Lamberg 指出,这种快速“分类和诊断”问题的能力是 Akamai Guardicore Segmentation 的核心优势。如果没有 Akamai Guardicore Segmentation 之类的工具,即使能够隔离未知进程或数据流动,难度也会很大,而它们往往表示软件出现问题或存在更糟糕的情况。“任何人都不太可能进入我们的环境,但我需要确保我们有一个主动机制来处理这种情况。Akamai Guardicore Segmentation 为我提供了这一机制。”
Akamai Guardicore Segmentation 的微分段功能也引起了 Lamberg 的注意,该功能允许安全运营商围绕单个或一组应用程序和进程设置安全策略。他指出:“如今,攻击一般以横向移动的方式进行。攻击在一台设备上取得成功后,就会横向移动到其他设备上。必须对所有设备进行适当的控制,并且能够监控这些设备的交互,这是解决该问题的唯一方法。”如果 Openlink 决定在未来实施微分段,Lamberg 相信该平台的功能可以让公司占据有利位置,从而成功地实施微分段。
合作伙伴保护
Openlink 目前从 Akamai Guardicore Segmentation 的技术中受益匪浅,同时 Lamberg 也看到了与该解决方案背后的人员保持合作关系的价值。他表示:“我只与愿意合作的公司开展业务,而不只是购买商品化产品。这些支持人员一直是了不起的合作伙伴。他们愿意倾听我们的反馈和需求,并在此基础上不断完善解决方案。”
由于公共云的动态化本质,Openlink 依靠 Akamai Guardicore Segmentation 来帮助确保公司随着云基础架构的发展而优化其环境。“他们明白,要解决问题,还必须与云提供商密切合作。该团队与 Azure 保持稳定沟通,确保他们掌握任何可能影响其产品运行方式的变化。”
因此,对于 Openlink 保护其客户在公共云中的关键资产这一使命,Akamai 及其解决方案已成为不可或缺的一部分。“我绝不想遇到这样的情况:我就某个问题打电话给供应商,他们告诉我,‘嗯,这是另一个供应商的问题,去和他们谈谈。’我从来没有从这支团队那里听到过这样的话。他们认为需要共同承担责任,从而保护我们客户的重要资产。”
Openlink 简介
Openlink 是 ION Investment Group 旗下公司,致力于在大数据和信息始终不断发展和演变的高度互联环境中迎接各种挑战。在企业越来越多地跨界、跨学科、跨部门和跨进程合作的时代,Openlink 解决方案可以全面获取 TB 级数据并将所有数据关联起来。更重要的是,实时利用这些数据。
ION 为金融机构、中央银行、政府和企业提供关键任务交易和工作流程自动化软件解决方案。有关更多信息,请访问 www.iongroup.com。
Akamai 简介
Akamai 支持并保护网络生活。全球各大优秀公司纷纷选择 Akamai 来打造并提供安全的数字化体验,为数十亿人每天的生活、工作和娱乐提供助力。我们横跨云端和边缘的计算平台在全球广泛分布,不仅能让客户轻松开发和运行应用程序,而且还能让体验更贴近用户,帮助用户远离威胁。如需详细了解 Akamai 的安全、计算及交付解决方案,请访问 akamai.com/zh 和 akamai.com/zh/blog,或者扫描下方二维码, 关注 我们的 微信公众号。