KKLab 導入 Akamai 零信任方案，靈活度與防護並存，內外網路兼修

毫無疑問，今年（2020）是資安威脅頻繁的一年，包括國營事業、IoT 設備製造商和主機託管業者，相繼遭遇駭客的襲擊。事實上，以音樂串流服務起家、接續展開多元佈局的 KKBOX 集團，多年前有感於國內外資安事件不斷，已建立高度憂患意識，認為亟需強化內部防護層級，但要避免過度管制、扼殺流程彈性；其一路走來在開放與安全之間求取平衡的歷程，著實值得借鏡。

約 5 年前，當時 KKBOX 的研發單位（因業務拓展，集團於2019年成立「KKLab」科科實驗股份有限公司成立便瞄準資安主題，持續進行不同實驗，首度延攬外部專業團隊執行 駭客入侵演習和滲透測試，挖掘需要精進改善的潛在破口，繼而決定施行多因子認證，進一步導入 Akamai 用於防範針對式攻擊的 ETP（Enterprise Threat Protector），及用於確保應用系統存取安全的 EAA（Enterprise Application Access），藉由兩項雲端資安服務的引進，順勢實現零信任（Zero Trust）的完美拼圖。

邁向零信任架構，補強傳統 VPN 漏洞
KKLab AVP 陳宏益表示，KKBOX 集團一向以技術為本，他於 2005 年在學期間就進入集團，15 年來專注技術研發，一路隨著集團成長軌跡，屢屢參與許多有趣且深具挑戰性的新技術導入計畫，包括在 2010 年成立網站可靠性工程（SRE）團隊、導入 CI/CD 並建立混合雲架構，此後憑藉在雲端、人工智慧（AI）所扎下的深厚研發基底，加入集團旗下專注於雲端技術服務的KKLab，一起協助外部企業推動技術轉型     。

KKLab一方面支援集團內 KKBOX、KKTV、KKStream、KKTIX、theFARM 等各個事業體所需技術能量，二方面聚焦 AI/ML 工具鏈、大數據高速運算平台、多重混合雲建置與顧問服務，滿足外部企業所需數位化能量，迄今已將服務觸角擴及高科技製造業、零售流通業、媒體娛樂業、金融保險業等眾多領域。

在提供技術服務的同時，KKLab 也將資安列為關鍵任務，特別引進第三方資安檢測能量，透過駭客實戰演練的手段，讓一些潛在缺陷徹底現形；原本同仁認為既有系統流程相當完善，加上人人皆有很高的資安素養，很有信心禁得起考驗，豈料在撞庫攻擊測試下，仍被撞出不少可能遭駭客破解的帳號密碼，除了令同仁備感驚訝，亦使 KKLab 團隊意識到，透過 VPN 存取內網資源的傳統資安框架與觀念，其實相當危險，一旦駭客竊得內部的帳密，便可能順著 VPN 摸進內網、恣意盜取機敏資訊，讓集團蒙受莫大經營風險。

為弭平風險，KKLab 採取兩階段補強措施，首先強制施行多因子認證，所有人須同時輸入帳密和 OTP Code，才准予連入 VPN；另外 KKLab 積極規劃零信任架構，希望藉由反覆不斷的檢視，驗證每一位訪客是否真為合法使用者，在零信任基礎上，創造更彈性且安全的工作環境正是 KKLab 追尋的終極目標。

以 ETP/EAA 構築防護網，阻斷每一個可疑連線
陳宏益重申，KKBOX 集團從事娛樂媒體及串流科技服務，期盼既能兼顧彈性，又可即時攔截惡意行為，不傾向冒然採取過度管制手段、抑制同仁的創造力：因此 KKLab 偏好採納的零信任方案，心須深具部署和維護的方便性，且儘可能不影響使用者作業流程。根據這些要件，幾經權衡採用 Akamai 提供的方案。

「以 Akamai ETP 而言，主要負責過濾分析從內網出去的連線，精準判別目的地是否帶有惡意 IP 或 Domain，關鍵在於大數據資料庫，」他接著說，Akamai 擁有高市佔率的 CDN、Anti-DDoS 服務基礎，從中彙集大量惡意行為資料，如此強大資源，肯定是支撐 ETP 有效運行的必要基石，這是贏得 KKLab 青睞的首要條件。

其次，綜觀市場上類似於 ETP 的方案，所設定的部署條件有所不同，有的要求在每個端點設備安裝代理程式，有的要求在企業⻣幹網路上裝設 Connector，Akamai 同時支援兩種模式，且 Connector 為輕量化 VM Image，加上僅需調整極少數網路設定即可；KKLab 輔以前述情資資料庫的豐富性，兩年前利用 30 分鐘內快速完成概念驗證（POC）後，確認以 Connector 模式佈建 Akamai ETP 可滿足所需，就此拍板定案。

在過濾內對外連線之餘，KKLab 今年再引進 Akamai EAA，並以 Docker Image 模式部署其 Connector，意在針對員工從任何地點存取內網資源的行為施以控管；截至目前，KKLab 已藉由 EAA 串聯內部逾百支應用系統，許多夥伴原以較繁複的 VPN 管道連入內網系統，如今改走 EAA 模式，免於承擔較多 IT 維運風險，也讓同事省卻額外維運負擔。

上線使用至今，KKLab 與 Akamai 之間並非只是客戶關係，而是有著更深厚的合作夥伴連結，因 KKLab 本身就具有企業客戶服務經驗，透過整合使用情境與應用流程，提供許多精確的優化建議，例如 ETP 報表需加入更多維度資訊，好比說除了得知某段期間內木馬或釣魚等事件統計，也能探知何人及何裝置觸發這些事件，亦或除了文字或數字表述外、也能以圓餅圖/長條圖/折線圖等數據視覺化的形式清晰呈現。因應各面向的建議，Akamai 都能迅速改版調整，進而嘉惠全球用戶，形成良性循環。

如今在 Akamai 零信任方案守護下，KKBOX 集團平均每天約有百封郵件意圖連入夾帶惡意廣告、惡意程式或網路釣魚行為的站點，被資安服務自動化攔截，讓 KKLab 可輕鬆掌握任何可疑連線行為，又能及時遏阻後續危害，從而快速檢討架構中、使用者操作行為上的缺失，接著予以改善，促使集團的資安防禦力不斷增強。展望未來，KKLab 也規劃將零信任旅程經驗形成典範，輸出至集團外企業，使各行各業同蒙其利。