在金融行業(yè)的數(shù)字化轉(zhuǎn)型進(jìn)程中，云安全是至關(guān)重要的一環(huán)。開放銀行服務(wù)、銀行業(yè)務(wù)即服務(wù)和不斷增長的嵌入式金融市場，繁榮金融市場的同時，也存在一定風(fēng)險。Akamai《兵臨城下：針對金融服務(wù)業(yè)的攻擊分析》報告顯示，針對金融服務(wù)的 Web 應(yīng)用程序和 API 攻擊數(shù)量激增3.5倍，表明了攻擊者對該行業(yè)及其客戶的興趣持續(xù)增長。

延伸閱讀，點擊鏈接了解 Akamai Cloud Computing

保持創(chuàng)新競爭力、抗擊風(fēng)險威脅，當(dāng)下的金融機構(gòu)更需要一種 Web 應(yīng)用程序和 API 保護(hù) (WAAP) 解決方案——能夠提供持續(xù)的監(jiān)測能力和綜合全面的見解，還具有識別和阻止大部分復(fù)雜攻擊的能力。服務(wù)自需求而來，Akamai 專門為金融機構(gòu)打造了一份評估供應(yīng)商能力的檢查清單（您也可以稱之為“需求核查列表”），用來確定實施有效的 WAAP 解決方案時需要滿足的要求。

清單必選項①：具備平臺化服務(wù)的安全能力

金融機構(gòu)有責(zé)任保護(hù)敏感的客戶數(shù)據(jù)和金融數(shù)據(jù)，避開快速發(fā)展變化的安全威脅。為此，企業(yè)的 Web 應(yīng)用程序安全解決方案應(yīng)該靈活、可擴展，并且易于管理。

• 具備與流量需求匹配的可擴展性，提供持續(xù)保護(hù)并且不會導(dǎo)致性能下降
• 架構(gòu)能夠應(yīng)對跨地域分布式應(yīng)用程序帶來的挑戰(zhàn)
• 具備審核日志功能，以確保合理使用
• 保護(hù)本地、私有云或公共云（包括多云或混合云）源站
• 能夠抵御網(wǎng)絡(luò)層 [L3/4] 分布式拒絕服務(wù) (DDoS) 攻擊，并且提供零秒服務(wù)等級協(xié)議
• 在整個平臺中融入通過眾包模式獲得的攻擊情報，支持發(fā)現(xiàn)攻擊者、攻擊頻率和攻擊嚴(yán)重程度
• 通過端口 80 和 443 提供 Web 流量反向代理功能
• 利用 SSL/TLS 加密保護(hù)網(wǎng)絡(luò)隱私
• 根據(jù)公正的第三方的評估結(jié)果，在至少 5 年內(nèi)是相應(yīng)解決方案類別中經(jīng)過證實的領(lǐng)導(dǎo)者
• 能夠自動發(fā)現(xiàn)在何時何處發(fā)生了個人身份信息 (PII) 傳遞行為，并發(fā)出警報，以防范數(shù)據(jù)泄露

清單必選項②：進(jìn)階自適應(yīng) Web 應(yīng)用程序和DDoS 防護(hù)

Web 應(yīng)用程序安全機制必須超越基于簽名的傳統(tǒng)檢測，采用更高級的自適應(yīng) Web 應(yīng)用程序和 DDoS防護(hù)，以實現(xiàn)精準(zhǔn)和可靠的安全效果。

• 提供基于異常和風(fēng)險的評分功能，而不僅限于基于簽名的攻擊檢測
• 完全托管式 WAF 規(guī)則，無需持續(xù)配置和更新
• 提供針對個人和共享 IP 地址的客戶端聲譽評分和情報
• 具備機器學(xué)習(xí)、數(shù)據(jù)挖掘和啟發(fā)法驅(qū)動的檢測能力，從而識別快速不斷變化的威脅
• 自動 Web 應(yīng)用程序防火墻 (WAF) 規(guī)則能夠根據(jù)安全研究人員持續(xù)發(fā)布的實時威脅情報更新
• 支持測試新的或更新的 WAF 規(guī)則在處理實時流量方面的效果，然后再將這些規(guī)則部署到生產(chǎn)環(huán)境
• （至少）抵御 SQL 注入、XSS、文件包含、命令注入、SSRF、SSI 和 XXE 攻擊
• 提供可全面自定義的預(yù)定義規(guī)則，以滿足特定客戶需求
• 能夠抵御應(yīng)用程序?qū)?[L7] 容量耗盡 DoS 攻擊，此類攻擊會通過遞歸式應(yīng)用程序活動造成 Web 服務(wù)器不堪重負(fù)
• 提供能快速抵御特定流量模式的自定義規(guī)則（虛擬修補）
• 具備請求速率限制功能，能夠抵御自動化或過多的爬蟲程序流量
• 能夠抵御指向源站的攻擊
• 通過多個網(wǎng)絡(luò)列表實施 IP/地域控制，阻止或允許來自特定 IP、子網(wǎng)或地理區(qū)域的流量
• 抵御自動化客戶端（例如漏洞掃描和 Web 攻擊工具）發(fā)起的攻擊

清單必選項③：部署 API 監(jiān)測、保護(hù)和控制解決方案

API 防護(hù)已經(jīng)成為 Web 應(yīng)用程序安全的關(guān)鍵部分。企業(yè)亟待部署具備穩(wěn)健的 API 發(fā)現(xiàn)、防護(hù)和控制能力的 WAAP 解決方案，消除 API 漏洞，減少金融組織面對風(fēng)險時受到的攻擊威脅。

• 自動發(fā)現(xiàn)和分析未知和/或不斷變化的 API（包括API 端點、特征和定義）
• 支持自動檢查 XML 和 JSON 請求，檢測基于 API 的攻擊
• 提供基于 API 密鑰的 API 端點速率控制（節(jié)流功能）
• 支持基于 IP/地域的 API 網(wǎng)絡(luò)列表（允許列表/攔截列表）
• 帶有版本控制的 API 生命周期管理
• 支持自定義 API 檢查規(guī)則，以滿足特定用戶需求
• 通過 JSON Web 令牌 (JWT) 驗證來保護(hù)身份驗證和授權(quán)
• 能夠預(yù)定義可接受的 XML 和 JSON 對象格式，以限制 API 請求的大小、類型和深度
• 為 API 后端基礎(chǔ)架構(gòu)提供防護(hù)機制，抵御專為耗盡資源而發(fā)起的低速緩慢攻擊（例如慢速 Post、慢速 Get）
• 支持按密鑰（每個獨立定義的密鑰具有相應(yīng)配額）定義允許的 API 請求，進(jìn)而全面掌控用量
• 使用標(biāo)準(zhǔn) API 定義（Swagger/OAS 和 RAML）進(jìn)行 API 初始配置
• 可在 API 級別生成實時警報、報告和儀表板

清單必選項④：化繁為簡，靈活管理全局工作流程

安全不應(yīng)是運營效能的沖突項，企業(yè)也需要簡單且自動化的工作流程，盡可能提升投資價值并提高運營效率。無論是保護(hù)全新應(yīng)用程序、更改應(yīng)用程序、采用新的 WAF 規(guī)則，還是將保護(hù)延伸到 API，企業(yè)增強安全所采用的流程都必須無縫且直觀。

• 支持開放式 API 和 CLI，可將安全配置任務(wù)集成到 CI/CD 流程中
• 包含實時儀表板、報告和啟發(fā)法驅(qū)動的警報功能
• 集成本地和基于云的安全信息以及事件管理 (SIEM) 應(yīng)用程序
• 具備能訪問詳細(xì)攻擊遙測數(shù)據(jù)并分析安全事件的集中式用戶界面 (UI)
• 提供完整的暫存環(huán)境和實施變更控制的能力
• 具備能自動適應(yīng)流量的自行調(diào)整式安全防護(hù)
• 提供涵蓋安全管理、監(jiān)控和威脅抵御的全托管式安全服務(wù)，以減輕您的負(fù)擔(dān)或增強安全性

有清單列表，更有長期陪伴

一直以來，Akamai 為全球知名金融機構(gòu)提供深層次 Web 應(yīng)用程序和 API 保護(hù)，每天從數(shù)百萬次 Web 應(yīng)用程序攻擊、數(shù)十億次爬蟲程序請求和多達(dá)數(shù)萬億次的 API 請求中獲取洞察。精細(xì)化智能洞察輔以機器學(xué)習(xí)和威脅研究，有助于提升云安全能力、捕獲新型威脅，加速開發(fā)創(chuàng)新功能。

面向未來，Akamai Web 應(yīng)用程序和 API 安全解決方案，將持續(xù)陪伴與幫助金融機構(gòu)抵御更高級的 Web 應(yīng)用程序攻擊、DDoS 攻擊和基于 API 的攻擊。

—————————————————————————————————————————————————

如您所在的企業(yè)也在考慮采購云服務(wù)或進(jìn)行云遷移，

點擊鏈接了解Akamai Linode的解決方案