KKLab AVP 陳宏益

毫無疑問,今年(2020)是資安威脅頻繁的一年,包括國營事業、IoT 設備製造商和主機託管業者,相繼遭遇駭客的襲擊。事實上,以音樂串流服務起家、接續展開多元佈局的 KKBOX 集團,多年前有感於國內外資安事件不斷,已建立高度憂患意識,認為亟需強化內部防護層級,但要避免過度管制、扼殺流程彈性;其一路走來在開放與安全之間求取平衡的歷程,著實值得借鏡。

約 5 年前,當時 KKBOX 的研發單位(因業務拓展,集團於2019年成立「KKLab」科科實驗股份有限公司成立便瞄準資安主題,持續進行不同實驗,首度延攬外部專業團隊執行 駭客入侵演習和滲透測試,挖掘需要精進改善的潛在破口,繼而決定施行多因子認證,進一步導入 Akamai 用於防範針對式攻擊的 ETP(Enterprise Threat Protector),及用於確保應用系統存取安全的 EAA(Enterprise Application Access),藉由兩項雲端資安服務的引進,順勢實現零信任(Zero Trust)的完美拼圖。

邁向零信任架構,補強傳統 VPN 漏洞
KKLab AVP 陳宏益表示,KKBOX 集團一向以技術為本,他於 2005 年在學期間就進入集團,15 年來專注技術研發,一路隨著集團成長軌跡,屢屢參與許多有趣且深具挑戰性的新技術導入計畫,包括在 2010 年成立網站可靠性工程(SRE)團隊、導入 CI/CD 並建立混合雲架構,此後憑藉在雲端、人工智慧(AI)所扎下的深厚研發基底,加入集團旗下專注於雲端技術服務的KKLab,一起協助外部企業推動技術轉型     。

KKLab一方面支援集團內 KKBOX、KKTV、KKStream、KKTIX、theFARM 等各個事業體所需技術能量,二方面聚焦 AI/ML 工具鏈、大數據高速運算平台、多重混合雲建置與顧問服務,滿足外部企業所需數位化能量,迄今已將服務觸角擴及高科技製造業、零售流通業、媒體娛樂業、金融保險業等眾多領域。

在提供技術服務的同時,KKLab 也將資安列為關鍵任務,特別引進第三方資安檢測能量,透過駭客實戰演練的手段,讓一些潛在缺陷徹底現形;原本同仁認為既有系統流程相當完善,加上人人皆有很高的資安素養,很有信心禁得起考驗,豈料在撞庫攻擊測試下,仍被撞出不少可能遭駭客破解的帳號密碼,除了令同仁備感驚訝,亦使 KKLab 團隊意識到,透過 VPN 存取內網資源的傳統資安框架與觀念,其實相當危險,一旦駭客竊得內部的帳密,便可能順著 VPN 摸進內網、恣意盜取機敏資訊,讓集團蒙受莫大經營風險。

為弭平風險,KKLab 採取兩階段補強措施,首先強制施行多因子認證,所有人須同時輸入帳密和 OTP Code,才准予連入 VPN;另外 KKLab 積極規劃零信任架構,希望藉由反覆不斷的檢視,驗證每一位訪客是否真為合法使用者,在零信任基礎上,創造更彈性且安全的工作環境正是 KKLab 追尋的終極目標。

以 ETP/EAA 構築防護網,阻斷每一個可疑連線
陳宏益重申,KKBOX 集團從事娛樂媒體及串流科技服務,期盼既能兼顧彈性,又可即時攔截惡意行為,不傾向冒然採取過度管制手段、抑制同仁的創造力:因此 KKLab 偏好採納的零信任方案,心須深具部署和維護的方便性,且儘可能不影響使用者作業流程。根據這些要件,幾經權衡採用 Akamai 提供的方案。

「以 Akamai ETP 而言,主要負責過濾分析從內網出去的連線,精準判別目的地是否帶有惡意 IP 或 Domain,關鍵在於大數據資料庫,」他接著說,Akamai 擁有高市佔率的 CDN、Anti-DDoS 服務基礎,從中彙集大量惡意行為資料,如此強大資源,肯定是支撐 ETP 有效運行的必要基石,這是贏得 KKLab 青睞的首要條件。

其次,綜觀市場上類似於 ETP 的方案,所設定的部署條件有所不同,有的要求在每個端點設備安裝代理程式,有的要求在企業⻣幹網路上裝設 Connector,Akamai 同時支援兩種模式,且 Connector 為輕量化 VM Image,加上僅需調整極少數網路設定即可;KKLab 輔以前述情資資料庫的豐富性,兩年前利用 30 分鐘內快速完成概念驗證(POC)後,確認以 Connector 模式佈建 Akamai ETP 可滿足所需,就此拍板定案。

在過濾內對外連線之餘,KKLab 今年再引進 Akamai EAA,並以 Docker Image 模式部署其 Connector,意在針對員工從任何地點存取內網資源的行為施以控管;截至目前,KKLab 已藉由 EAA 串聯內部逾百支應用系統,許多夥伴原以較繁複的 VPN 管道連入內網系統,如今改走 EAA 模式,免於承擔較多 IT 維運風險,也讓同事省卻額外維運負擔。

上線使用至今,KKLab 與 Akamai 之間並非只是客戶關係,而是有著更深厚的合作夥伴連結,因 KKLab 本身就具有企業客戶服務經驗,透過整合使用情境與應用流程,提供許多精確的優化建議,例如 ETP 報表需加入更多維度資訊,好比說除了得知某段期間內木馬或釣魚等事件統計,也能探知何人及何裝置觸發這些事件,亦或除了文字或數字表述外、也能以圓餅圖/長條圖/折線圖等數據視覺化的形式清晰呈現。因應各面向的建議,Akamai 都能迅速改版調整,進而嘉惠全球用戶,形成良性循環。

如今在 Akamai 零信任方案守護下,KKBOX 集團平均每天約有百封郵件意圖連入夾帶惡意廣告、惡意程式或網路釣魚行為的站點,被資安服務自動化攔截,讓 KKLab 可輕鬆掌握任何可疑連線行為,又能及時遏阻後續危害,從而快速檢討架構中、使用者操作行為上的缺失,接著予以改善,促使集團的資安防禦力不斷增強。展望未來,KKLab 也規劃將零信任旅程經驗形成典範,輸出至集團外企業,使各行各業同蒙其利。

 


熱門新聞

Advertisement