致金融从业者：轻松布局云安全，是一种什么体验？

在金融行业的数字化转型进程中，云安全是至关重要的一环。开放银行服务、银行业务即服务和不断增长的嵌入式金融市场，繁荣金融市场的同时，也存在一定风险。Akamai《兵临城下：针对金融服务业的攻击分析》报告显示，针对金融服务的 Web 应用程序和 API 攻击数量激增3.5倍，表明了攻击者对该行业及其客户的兴趣持续增长。

保持创新竞争力、抗击风险威胁，当下的金融机构更需要一种 Web 应用程序和 API 保护 (WAAP) 解决方案——能够提供持续的监测能力和综合全面的见解，还具有识别和阻止大部分复杂攻击的能力。服务自需求而来，Akamai 专门为金融机构打造了一份评估供应商能力的检查清单（您也可以称之为“需求核查列表”），用来确定实施有效的 WAAP 解决方案时需要满足的要求。

清单必选项①：具备平台化服务的安全能力

金融机构有责任保护敏感的客户数据和金融数据，避开快速发展变化的安全威胁。为此，企业的 Web 应用程序安全解决方案应该灵活、可扩展，并且易于管理。

• 具备与流量需求匹配的可扩展性，提供持续保护并且不会导致性能下降
• 架构能够应对跨地域分布式应用程序带来的挑战
• 具备审核日志功能，以确保合理使用
• 保护本地、私有云或公共云（包括多云或混合云）源站
• 能够抵御网络层 [L3/4] 分布式拒绝服务 (DDoS) 攻击，并且提供零秒服务等级协议
• 在整个平台中融入通过众包模式获得的攻击情报，支持发现攻击者、攻击频率和攻击严重程度
• 通过端口 80 和 443 提供 Web 流量反向代理功能
• 利用 SSL/TLS 加密保护网络隐私
• 根据公正的第三方的评估结果，在至少 5 年内是相应解决方案类别中经过证实的领导者
• 能够自动发现在何时何处发生了个人身份信息 (PII) 传递行为，并发出警报，以防范数据泄露

清单必选项②：进阶自适应 Web 应用程序和DDoS 防护

Web 应用程序安全机制必须超越基于签名的传统检测，采用更高级的自适应 Web 应用程序和 DDoS

防护，以实现精准和可靠的安全效果。

• 提供基于异常和风险的评分功能，而不仅限于基于签名的攻击检测
• 完全托管式 WAF 规则，无需持续配置和更新
• 提供针对个人和共享 IP 地址的客户端声誉评分和情报
• 具备机器学习、数据挖掘和启发法驱动的检测能力，从而识别快速不断变化的威胁
• 自动 Web 应用程序防火墙 (WAF) 规则能够根据安全研究人员持续发布的实时威胁情报更新
• 支持测试新的或更新的 WAF 规则在处理实时流量方面的效果，然后再将这些规则部署到生产环境
• （至少）抵御 SQL 注入、XSS、文件包含、命令注入、SSRF、SSI 和 XXE 攻击
• 提供可全面自定义的预定义规则，以满足特定客户需求
• 能够抵御应用程序层 [L7] 容量耗尽 DoS 攻击，此类攻击会通过递归式应用程序活动造成 Web 服务器不堪重负
• 提供能快速抵御特定流量模式的自定义规则（虚拟修补）
• 具备请求速率限制功能，能够抵御自动化或过多的爬虫程序流量
• 能够抵御指向源站的攻击
• 通过多个网络列表实施 IP/地域控制，阻止或允许来自特定 IP、子网或地理区域的流量
• 抵御自动化客户端（例如漏洞扫描和 Web 攻击工具）发起的攻击

清单必选项③：部署 API 监测、保护和控制解决方案

API 防护已经成为 Web 应用程序安全的关键部分。企业亟待部署具备稳健的 API 发现、防护和控制能力的 WAAP 解决方案，消除 API 漏洞，减少金融组织面对风险时受到的攻击威胁。

• 自动发现和分析未知和/或不断变化的 API（包括API 端点、特征和定义）
• 支持自动检查 XML 和 JSON 请求，检测基于 API 的攻击
• 提供基于 API 密钥的 API 端点速率控制（节流功能）
• 支持基于 IP/地域的 API 网络列表（允许列表/拦截列表）
• 带有版本控制的 API 生命周期管理
• 支持自定义 API 检查规则，以满足特定用户需求
• 通过 JSON Web 令牌 (JWT) 验证来保护身份验证和授权
• 能够预定义可接受的 XML 和 JSON 对象格式，以限制 API 请求的大小、类型和深度
• 为 API 后端基础架构提供防护机制，抵御专为耗尽资源而发起的低速缓慢攻击（例如慢速 Post、慢速 Get）
• 支持按密钥（每个独立定义的密钥具有相应配额）定义允许的 API 请求，进而全面掌控用量
• 使用标准 API 定义（Swagger/OAS 和 RAML）进行 API 初始配置
• 可在 API 级别生成实时警报、报告和仪表板

清单必选项④：化繁为简，灵活管理全局工作流程

安全不应是运营效能的冲突项，企业也需要简单且自动化的工作流程，尽可能提升投资价值并提高运营效率。无论是保护全新应用程序、更改应用程序、采用新的 WAF 规则，还是将保护延伸到 API，企业增强安全所采用的流程都必须无缝且直观。

• 支持开放式 API 和 CLI，可将安全配置任务集成到 CI/CD 流程中
• 包含实时仪表板、报告和启发法驱动的警报功能
• 集成本地和基于云的安全信息以及事件管理 (SIEM) 应用程序
• 具备能访问详细攻击遥测数据并分析安全事件的集中式用户界面 (UI)
• 提供完整的暂存环境和实施变更控制的能力
• 具备能自动适应流量的自行调整式安全防护
• 提供涵盖安全管理、监控和威胁抵御的全托管式安全服务，以减轻您的负担或增强安全性

有清单列表，更有长期陪伴

一直以来，Akamai 为全球知名金融机构提供深层次 Web 应用程序和 API 保护，每天从数百万次 Web 应用程序攻击、数十亿次爬虫程序请求和多达数万亿次的 API 请求中获取洞察。精细化智能洞察辅以机器学习和威胁研究，有助于提升云安全能力、捕获新型威胁，加速开发创新功能。

面向未来，Akamai Web 应用程序和 API 安全解决方案，将持续陪伴与帮助金融机构抵御更高级的 Web 应用程序攻击、DDoS 攻击和基于 API 的攻击。敬请访问 Akamai 安全情报组，随时了解我们的前沿研究资讯。

了解更多

获取 Akamai《Web 应用程序和 API 保护功能：金融机构检查清单》白皮书全文内容，随时了解 Akamai 的研究和警报。在此，您将找到 SOTI 报告、有关威胁和防护最佳实践的博客以及其他工具和资源。

---