在金融行業的數字化轉型進程中，云安全是至關重要的一環。開放銀行服務、銀行業務即服務和不斷增長的嵌入式金融市場，繁榮金融市場的同時，也存在一定風險。Akamai《兵臨城下：針對金融服務業的攻擊分析》報告顯示，針對金融服務的 Web 應用程序和 API 攻擊數量激增3.5倍，表明了攻擊者對該行業及其客戶的興趣持續增長。

延伸閱讀，點擊鏈接了解 Akamai Cloud Computing

保持創新競爭力、抗擊風險威脅，當下的金融機構更需要一種 Web 應用程序和 API 保護 (WAAP) 解決方案——能夠提供持續的監測能力和綜合全面的見解，還具有識別和阻止大部分復雜攻擊的能力。服務自需求而來，Akamai 專門為金融機構打造了一份評估供應商能力的檢查清單（您也可以稱之為“需求核查列表”），用來確定實施有效的 WAAP 解決方案時需要滿足的要求。

清單必選項①：具備平臺化服務的安全能力

金融機構有責任保護敏感的客戶數據和金融數據，避開快速發展變化的安全威脅。為此，企業的 Web 應用程序安全解決方案應該靈活、可擴展，并且易于管理。

• 具備與流量需求匹配的可擴展性，提供持續保護并且不會導致性能下降
• 架構能夠應對跨地域分布式應用程序帶來的挑戰
• 具備審核日志功能，以確保合理使用
• 保護本地、私有云或公共云（包括多云或混合云）源站
• 能夠抵御網絡層 [L3/4] 分布式拒絕服務 (DDoS) 攻擊，并且提供零秒服務等級協議
• 在整個平臺中融入通過眾包模式獲得的攻擊情報，支持發現攻擊者、攻擊頻率和攻擊嚴重程度
• 通過端口 80 和 443 提供 Web 流量反向代理功能
• 利用 SSL/TLS 加密保護網絡隱私
• 根據公正的第三方的評估結果，在至少 5 年內是相應解決方案類別中經過證實的領導者
• 能夠自動發現在何時何處發生了個人身份信息 (PII) 傳遞行為，并發出警報，以防范數據泄露

清單必選項②：進階自適應 Web 應用程序和DDoS 防護

Web 應用程序安全機制必須超越基于簽名的傳統檢測，采用更高級的自適應 Web 應用程序和 DDoS防護，以實現精準和可靠的安全效果。

• 提供基于異常和風險的評分功能，而不僅限于基于簽名的攻擊檢測
• 完全托管式 WAF 規則，無需持續配置和更新
• 提供針對個人和共享 IP 地址的客戶端聲譽評分和情報
• 具備機器學習、數據挖掘和啟發法驅動的檢測能力，從而識別快速不斷變化的威脅
• 自動 Web 應用程序防火墻 (WAF) 規則能夠根據安全研究人員持續發布的實時威脅情報更新
• 支持測試新的或更新的 WAF 規則在處理實時流量方面的效果，然后再將這些規則部署到生產環境
• （至少）抵御 SQL 注入、XSS、文件包含、命令注入、SSRF、SSI 和 XXE 攻擊
• 提供可全面自定義的預定義規則，以滿足特定客戶需求
• 能夠抵御應用程序層 [L7] 容量耗盡 DoS 攻擊，此類攻擊會通過遞歸式應用程序活動造成 Web 服務器不堪重負
• 提供能快速抵御特定流量模式的自定義規則（虛擬修補）
• 具備請求速率限制功能，能夠抵御自動化或過多的爬蟲程序流量
• 能夠抵御指向源站的攻擊
• 通過多個網絡列表實施 IP/地域控制，阻止或允許來自特定 IP、子網或地理區域的流量
• 抵御自動化客戶端（例如漏洞掃描和 Web 攻擊工具）發起的攻擊

清單必選項③：部署 API 監測、保護和控制解決方案

API 防護已經成為 Web 應用程序安全的關鍵部分。企業亟待部署具備穩健的 API 發現、防護和控制能力的 WAAP 解決方案，消除 API 漏洞，減少金融組織面對風險時受到的攻擊威脅。

• 自動發現和分析未知和/或不斷變化的 API（包括API 端點、特征和定義）
• 支持自動檢查 XML 和 JSON 請求，檢測基于 API 的攻擊
• 提供基于 API 密鑰的 API 端點速率控制（節流功能）
• 支持基于 IP/地域的 API 網絡列表（允許列表/攔截列表）
• 帶有版本控制的 API 生命周期管理
• 支持自定義 API 檢查規則，以滿足特定用戶需求
• 通過 JSON Web 令牌 (JWT) 驗證來保護身份驗證和授權
• 能夠預定義可接受的 XML 和 JSON 對象格式，以限制 API 請求的大小、類型和深度
• 為 API 后端基礎架構提供防護機制，抵御專為耗盡資源而發起的低速緩慢攻擊（例如慢速 Post、慢速 Get）
• 支持按密鑰（每個獨立定義的密鑰具有相應配額）定義允許的 API 請求，進而全面掌控用量
• 使用標準 API 定義（Swagger/OAS 和 RAML）進行 API 初始配置
• 可在 API 級別生成實時警報、報告和儀表板

清單必選項④：化繁為簡，靈活管理全局工作流程

安全不應是運營效能的沖突項，企業也需要簡單且自動化的工作流程，盡可能提升投資價值并提高運營效率。無論是保護全新應用程序、更改應用程序、采用新的 WAF 規則，還是將保護延伸到 API，企業增強安全所采用的流程都必須無縫且直觀。

• 支持開放式 API 和 CLI，可將安全配置任務集成到 CI/CD 流程中
• 包含實時儀表板、報告和啟發法驅動的警報功能
• 集成本地和基于云的安全信息以及事件管理 (SIEM) 應用程序
• 具備能訪問詳細攻擊遙測數據并分析安全事件的集中式用戶界面 (UI)
• 提供完整的暫存環境和實施變更控制的能力
• 具備能自動適應流量的自行調整式安全防護
• 提供涵蓋安全管理、監控和威脅抵御的全托管式安全服務，以減輕您的負擔或增強安全性

有清單列表，更有長期陪伴

一直以來，Akamai 為全球知名金融機構提供深層次 Web 應用程序和 API 保護，每天從數百萬次 Web 應用程序攻擊、數十億次爬蟲程序請求和多達數萬億次的 API 請求中獲取洞察。精細化智能洞察輔以機器學習和威脅研究，有助于提升云安全能力、捕獲新型威脅，加速開發創新功能。

面向未來，Akamai Web 應用程序和 API 安全解決方案，將持續陪伴與幫助金融機構抵御更高級的 Web 應用程序攻擊、DDoS 攻擊和基于 API 的攻擊。

—————————————————————————————————————————————————

如您所在的企業也在考慮采購云服務或進行云遷移，

點擊鏈接了解Akamai Linode的解決方案