API安全成金融創新關鍵

實施開放銀行業務的銀行中有68%都在開發及部署API來交付各項創新服務;為了增強客戶參與度並實現數位化信任的承諾,81%的組織部署WAF,以抵禦不斷升高的資安威脅。
HK Chang

實施開放銀行業務的銀行中有68%都在開發及部署API來交付各項創新服務;為了增強客戶參與度並實現數位化信任的承諾,81%的組織部署WAF,以抵禦不斷升高的資安威脅。

每年,F5發布的應用程式服務狀態SOAS調查報告,除了反映出應用服務在企業成長的每一階段都扮演關鍵角色,也呈現企業對新興技術如多重雲端與IT商業程式自動化的運用現況。我們知道金融服務業對新技術採用一直展現領先的地位,最近也搭上了開放銀行(Open Banking)列車,去年10月財金公司的開放API平台正式上線,台灣的金融產業,將邁入「跨界、跨域」的新階段。

今年F5 SOAS報告首次針對488位財務金融專業人士受訪者的觀點,研析出2020年SOAS—金融服務版,報告指出,實施開放銀行業務的銀行中有68%都在開發及部署API來交付各項創新服務;為了增強客戶參與度並實現數位化信任的承諾,81%的組織部署WAF,以抵禦不斷升高的資安威脅。

金融服務組織的首要戰略是採用公有雲平台優勢快速部署客戶服務。高達60%受訪者指出,已經採用公有雲並提供了敏捷的應用程式部署速度,以推動新產品與差異化的客戶體驗服務。為了在超快速的競賽中搶得先機,金融服務業正全力以赴擁抱多雲環境,雲端的信任危機和不斷增長的威脅也迫使他們提升安全層級。

一致可控的應用安全策略、法規遵循以及防禦資安威脅是跨多雲環境運行的主要挑戰。開放式銀行業務是一種新的協作模型,可以在兩個以上的非關聯組織之間通過API進行資料共享,這僅僅是API經濟的一個例子,未來在單一平台做行動支付、電商、B2B供應鏈,以及各項金融商品的交易、政府eID串連稅務、醫療、教育等便民的資訊整合查詢,實現更多便利及個性化的產品與服務內容。隨著API經濟的發展,API閘道的重要性也不斷擴大。

超過一半的金融服務受訪者將安全性視為應用程式服務的圭臬。近期以WAF和遠端存取(Remote Access)的安全性為主導,在反殭屍、欺詐和濫用預防的部署頻率要比其他行業高出百分之十。安全性對於金融服務公司而言具有戰略意義,大量有價值的資料也使API成為威脅攻擊的目標活動如犯罪、駭客行為、間諜活動、戰爭等極具吸引力的目標。

基礎的API安全模型主要依賴於身份驗證、限制和通信安全性,而進階強化後的API安全防範機制會追踪流量,洞察安全性的歷史趨勢。這些功能完全可以透過在部署專業的API安全設備或模組來進行,這使得後端API服務自身可以更加專注在對外服務的提供上。F5建議從API創建、發佈、管理、安全及透析,必須要擁有一個完整前瞻性的資安框架,從應用層安全角度的可視性透析有價資訊,讓API開放的實質效益不會被惡意的駭客循路入侵,造成整個生態系的災難。