隨著越來越多企業采取數字優先的策略，業務應用程序工作負載的數量和敏感性都在增加。通常來說，這些數字資產的第一道防線往往是強大的邊界安全態勢（這個邊界可能位于本地或是云端），而具體的防線可能采取多種形式，包括但不限于：

• 下一代防火墻
• Web應用程序和API保護（WAAP）平臺
• 云原生安全策略

延伸閱讀，點擊鏈接了解 Akamai API Security

盡管這些安全機制仍然非常重要，但只使用它們本身并不足夠。即便防御良好的數據中心和云環境，安全漏洞也是不可避免的。這不是“是否會發生”的問題，而是“何時會發生”的問題。

一種全新類別的東西向API通信

很多安全團隊意識到了這一點，并開始加大對網絡或云邊界內的東西向通信的監控和保護力度。通常，這首先表現在對內部端點和工作負載之間的網絡級通信進行更嚴格的審查。然而，內部API用量的爆炸性增長創造了第二類東西向通信：內部應用程序和服務以編程的方式相互進行的通信。

雖然大多數企業已經認識到了這個問題，但許多仍然在解決這一問題的路上苦苦掙扎。東西向網絡流量的數量通常遠遠超過南北向流量，這是造成復雜性增加的主要因素之一。

現在，東西向API通信這一新類別的引入，使得問題變得更加復雜。API與傳統網絡威脅有著截然不同的風險和攻擊向量。此外，由于這一新類別包括自動化的機器間通信，其流量量可能會變得更加龐大。

缺乏東西向可見性所導致的風險

過去我們會假設所有內部流量都默認可信，這在今天的環境中已經不再現實。威脅行為者不可避免地會利用數據中心和云安全的弱點來獲取未經授權的網絡、云或系統訪問權限。這些漏洞是否會升級為大規模事件？這取決于企業檢測東西向流量中所蘊含威脅的能力。

東西向流量的巨大規模以及它“通常被認為是合法的”這一事實，對威脅行為者大有好處。一旦惡意人員在受信任的環境中立足，往往就會嘗試橫向移動到更有價值的資產。

這些努力有時進展迅速，但也可能持續數月，威脅行為者會將自己的活動融入合法的東西向流量中。更重要的是，API為東西向可見性和監控挑戰增加了一個全新維度。

API流量已經不容忽視

內部API現在已經廣泛用于各種應用程序訪問敏感數據和業務工作流等情況下。內部API可能被認為“更安全”，因為它們不應在企業外部使用。但如果被攻破了，我們該怎么得知這一情況？

我們需要了解并評估內部API的行為，以確保企業是否依然安全。API流量已經不容忽視。對于試圖在本地或云環境中橫向移動的威脅行為者來說，API提供了新的，并且可能具有破壞性的攻擊向量。

在更傳統的漏洞情景中，威脅行為者可能需要通過提升權限和利用系統級漏洞來實現橫向移動。而內部API則提供了一系列全新的入侵途徑。

API實施中普遍存在的漏洞

在某些情況下，內部API可能由于假設外界無法訪問而未實施必要的安全控制。但即便遵循了良好的安全實踐，API實施中的漏洞可能依然普遍存在。內部東西向API經常被錯誤配置并在不知情的情況下暴露到互聯網上。如果被發現，原本用于東西向通信的API很快就可能成為數據泄露的源頭。

有些攻擊甚至可能不需要API漏洞；相反，可能僅需要濫用標準的API功能。這就更加難以檢測，因為幾乎與授權的API一模一樣。即使企業有專門的WAAP平臺，通常也僅專注于南北向的API活動。

獲得東西向可見性并執行策略

作為內容傳輸領域的領先企業，Akamai在南北向應用活動的性能優化、可擴展性和安全性等方面提供了一流的服務。憑借過去一段時間里的戰略性收購（例如收購Guardicore和Neosec），Akamai還獲得了高度差異化的能力，借此已經能夠可視化并保護東西向活動。

Akamai Guardicore Segmentation和Akamai API Security共同解決了東西向流量發現、分析和威脅檢測等關鍵問題，并能以高度互補的方式協同工作。

全面的發現能力是東西向可見性和保護的基石

• Akamai Guardicore Segmentation

無論東西向網絡流量還是API使用，信息的有效發現都是實現可見性、檢測和策略執行方法的基礎。即使東西向流量的安全能力已經到位，如果具體操作基于不完整的數據，最終也將無法奏效。

Akamai Guardicore Segmentation使用多種技術確保發現所有端點和應用工作負載，以及它們之間的所有信息流。這包括網絡級收集器、基于主機的代理、云提供商API集成等。

• Akamai API SecurityAkamai API Security

使用類似的廣泛方法來發現整個企業中使用的所有API，包括繞過標準系統和實踐的惡意API或影子API。這包括從所有可用來源收集日志，例如API網關、內容分發網絡、網絡設備、云平臺等。

總之，Akamai Guardicore Segmentation和Akamai API Security的發現能力確保用戶可從多個應用程序棧全面了解東西向活動。

防止數據中心和云環境中的橫向移動

Akamai Guardicore Segmentation允許用戶以高度詳細的方式可視化數據中心和/或云環境中的所有通信流。用戶可以利用這些洞察來創建精細的零信任分段策略，從而嚴格控制端點和應用工作負載之間的通信流。

除了阻止不符合分段策略的活動，Akamai Guardicore Segmentation還能利用Akamai威脅情報在東西向數據中心和云流量中檢測并告警可疑活動。

將東西向可見性和策略控制擴展到API

正如Akamai Guardicore Segmentation允許用戶可視化和管理通信流一樣，Akamai API Security提供了對所有API活動的可見性，包括東西向API使用，并能利用復雜的行為分析機制來檢測隱藏在合法活動中的API濫用。

當檢測到可疑API使用時，Akamai API Security會生成信息豐富的警報。它還可以通過與Akamai或第三方WAAP平臺集成，執行自動化策略響應，如吊銷憑證或實施速率限制。

結論

獲得東西向通信的可見性和控制力，這是企業改善安全態勢的最有效措施之一。做好這項工作需要跨多個領域實現東西向的可見性，進而從本地和云環境中的傳統網絡深入到新興的API網絡。

Akamai Guardicore Segmentation和Akamai API Security共同作用，將能幫助企業輕松實現：

• 獲得網絡和應用棧各個層次的東西向可見性
• 檢測試圖隱藏在東西向流量中的惡意活動
• 實施精細策略，防止威脅行為者橫向移動和濫用API

—————————————————————————————————————————————————

如您所在的企業也想要進一步保護API安全，

點擊鏈接 了解Akamai的解決方案