下一代WEB安全防护解决方案

下一代WEB安全防护解决方案

• 一、WAAP 到底是什么？

WAAP 是 Gartner 各类评选中的一个新分类，我们完全可以将 WAAP 看作是 WAF 的一次进化与革新。

从今年开始，Web 应用防护和 API 防护被单独放在一个新的分类：Web Application and API protection 中。简单来说，WAAP 解决方案主要针对四个领域（可以想象成四个功能模块）：Web 应用、API、爬虫，以及应用层 DDoS。以往这些可能分别要用不同产品和服务获得保护，但通过统一的 WAAP 解决方案，即可由一个产品或服务提供统一的整体防护，并由一个厂商为解决方案提供支持。

• 二、为什么要这样做？

随着越来越多企业开始数字化转型，基于 API 的新式应用开始日渐普及，而很多企业以往忽略了 API 安全，认为 API 相对并不那么容易被攻击。但实际上，攻击手段通常来说都是领先于防护手段的，因而 API 的安全防护值得所有企业提高重视。Gartner 的这个全新分类，也是希望能尽可能提高业内厂商和用户企业的重视程度。

根据 Gartner 的预测，目前企业对于高级 Web API 防护、Web 应用安全防护、爬虫攻击缓解产品和解决方案的使用比例仅为10%，但到2026年将快速增长至40%。此外，实施了多云战略的企业和组织中，将有70%更倾向于使用服务类 WAAP，而非设备类 WAAP 产品或 IaaS 上的虚拟化产品。

因而 WAAP 主要会以云服务（WAAP 服务）的形式交付，这也使得此类服务在 DDoS 防护方面可以获得与生俱来的天然优势。

本次 Gartner 的 WAAP 魔力象限评比主要考虑了部署在 Web 应用程序外部或与其并行部署，未直接与 Web 服务器相集成的 WAAP 服务，主要类型包括：

• WAAP设备：专用的物理、虚拟或软件一体机
• WAAP模块：可直接嵌入应用程序交付控制器ADC中
• WAAP服务：CDN厂商提供一体化方案

三、CDN厂商 WAAP 解决方案的优势所在

海量云清洗资源，智能扩容

基于海量防护资源，防护能力按需弹性伸缩；结合全球智能调度系统，实时检测并在边缘安全节点智能清洗各类DDoS攻击（如SYN Flood、UDP Flood、CC等），保障用户业务在遭遇大规模DDoS攻击时仍然能够稳定、安全运行。

智能攻防规则+机器学习，多引擎防御

智能攻防规则，实时拦截攻击；大数据+机器学习，预判趋势

精准高效的云WAF

采用“智能规则库+AI”双引擎防御架构，提供针对OWASP Top10 等各类常见Web应用安全风险的防护，同时，可及时发现并防御新型Web攻击，避免网站服务器被恶意入侵导致的网站篡改、敏感数据泄露等问题，保障网站安全。

全生命周期闭环管理

为API上线、变更、下线全生命周期提供闭环管理，灵活管控每个API的消费方及其对应权限，保障API资产的可见性和可控性

主动发现失联接口

基于对全局流量数据的聚合分析，全面监控历史遗留API、临时API，智能提炼完整API资产清单，避免失联接口成为潜在安全隐患

精准识别爬虫

通过分布式架构形成云端Bot管理网络，基于多维访问控制、合法性验证、交互验证、大数据行为分析等管理策略，实时检测并阻断恶意Bot流量，并联动情报库引擎进行事前检测处置，支持对Web端+APP全方位防护。

全栈WAAP防护

对API调用请求进行精细化的校验与鉴权，识别并阻止恶意API调用，保护企业核心数据资产；支持与DDoS防护、云WAF和Bot管理一键集成，实现Web应用与API全栈防护

四、后续建议

◆不断进化的 Web 标准和复杂的软件和服务架构加重了 WAF 设备解决方案相关的技术负担，导致创新受限，并提高了 WAF 设备的部署复杂度。

◆ 除了少数例外情况，WAF 技术已经无法兑现自动实施有效安全模型的承诺。应用程序项目的实施周期持续变短，这也进一步妨碍了安全团队实施并调优 WAF 设备的能力。

◆用户对云端 WAF 服务防范 DDoS 攻击、阻止恶意爬虫以及保护 API 等能力往往有着更高的期望。

◆ 随着提供商加大产品投入，会有更多云端 WAF 服务逐渐演化为云端WAAP 服务。而 API 的激增（包括将 API 以 Web 应用程序的形式交付，例如单页应用程序）是其中的一个关键性推动因素。

当今消费者对企业的安全性、可用性和品牌信任度可能比以往任何时候都更脆弱。一旦发生数据泄露，甚至可能会让内部员工也失去对企业运营、供应链和数据完整性的信任。为了建立和维系信任，企业必须实现高标准的安全防护，从而缓解最新威胁给业务和运营带来的风险。