0


下一代WEB安全防护解决方案

下一代WEB安全防护解决方案

  • 一、WAAP 到底是什么?

WAAP 是 Gartner 各类评选中的一个新分类,我们完全可以将 WAAP 看作是 WAF 的一次进化与革新。

从今年开始,Web 应用防护和 API 防护被单独放在一个新的分类:Web Application and API protection 中。简单来说,WAAP 解决方案主要针对四个领域(可以想象成四个功能模块):Web 应用、API、爬虫,以及应用层 DDoS。以往这些可能分别要用不同产品和服务获得保护,但通过统一的 WAAP 解决方案,即可由一个产品或服务提供统一的整体防护,并由一个厂商为解决方案提供支持。

  • 二、为什么要这样做?

随着越来越多企业开始数字化转型,基于 API 的新式应用开始日渐普及,而很多企业以往忽略了 API 安全,认为 API 相对并不那么容易被攻击。但实际上,攻击手段通常来说都是领先于防护手段的,因而 API 的安全防护值得所有企业提高重视。Gartner 的这个全新分类,也是希望能尽可能提高业内厂商和用户企业的重视程度。

根据 Gartner 的预测,目前企业对于高级 Web API 防护、Web 应用安全防护、爬虫攻击缓解产品和解决方案的使用比例仅为10%,但到2026年将快速增长至40%。此外,实施了多云战略的企业和组织中,将有70%更倾向于使用服务类 WAAP,而非设备类 WAAP 产品或 IaaS 上的虚拟化产品。

因而 WAAP 主要会以云服务(WAAP 服务)的形式交付,这也使得此类服务在 DDoS 防护方面可以获得与生俱来的天然优势。

本次 Gartner 的 WAAP 魔力象限评比主要考虑了部署在 Web 应用程序外部或与其并行部署,未直接与 Web 服务器相集成的 WAAP 服务,主要类型包括:

  • WAAP设备:专用的物理、虚拟或软件一体机
  • WAAP模块:可直接嵌入应用程序交付控制器ADC中
  • WAAP服务:CDN厂商提供一体化方案

三、CDN厂商 WAAP 解决方案的优势所在

海量云清洗资源,智能扩容

基于海量防护资源,防护能力按需弹性伸缩;结合全球智能调度系统,实时检测并在边缘安全节点智能清洗各类DDoS攻击(如SYN Flood、UDP Flood、CC等),保障用户业务在遭遇大规模DDoS攻击时仍然能够稳定、安全运行。

智能攻防规则+机器学习,多引擎防御

智能攻防规则,实时拦截攻击;大数据+机器学习,预判趋势

精准高效的云WAF

采用“智能规则库+AI”双引擎防御架构,提供针对OWASP Top10 等各类常见Web应用安全风险的防护,同时,可及时发现并防御新型Web攻击,避免网站服务器被恶意入侵导致的网站篡改、敏感数据泄露等问题,保障网站安全。

全生命周期闭环管理

为API上线、变更、下线全生命周期提供闭环管理,灵活管控每个API的消费方及其对应权限,保障API资产的可见性和可控性

主动发现失联接口

基于对全局流量数据的聚合分析,全面监控历史遗留API、临时API,智能提炼完整API资产清单,避免失联接口成为潜在安全隐患

精准识别爬虫

通过分布式架构形成云端Bot管理网络,基于多维访问控制、合法性验证、交互验证、大数据行为分析等管理策略,实时检测并阻断恶意Bot流量,并联动情报库引擎进行事前检测处置,支持对Web端+APP全方位防护。

全栈WAAP防护

对API调用请求进行精细化的校验与鉴权,识别并阻止恶意API调用,保护企业核心数据资产;支持与DDoS防护、云WAF和Bot管理一键集成,实现Web应用与API全栈防护

四、后续建议

◆不断进化的 Web 标准和复杂的软件和服务架构加重了 WAF 设备解决方案相关的技术负担,导致创新受限,并提高了 WAF 设备的部署复杂度。

◆ 除了少数例外情况,WAF 技术已经无法兑现自动实施有效安全模型的承诺。应用程序项目的实施周期持续变短,这也进一步妨碍了安全团队实施并调优 WAF 设备的能力。

◆用户对云端 WAF 服务防范 DDoS 攻击、阻止恶意爬虫以及保护 API 等能力往往有着更高的期望。

◆ 随着提供商加大产品投入,会有更多云端 WAF 服务逐渐演化为云端WAAP 服务。而 API 的激增(包括将 API 以 Web 应用程序的形式交付,例如单页应用程序)是其中的一个关键性推动因素。

当今消费者对企业的安全性、可用性和品牌信任度可能比以往任何时候都更脆弱。一旦发生数据泄露,甚至可能会让内部员工也失去对企业运营、供应链和数据完整性的信任。为了建立和维系信任,企业必须实现高标准的安全防护,从而缓解最新威胁给业务和运营带来的风险。

标签: web安全 安全

本文转载自: https://blog.csdn.net/youthfully/article/details/127199809
版权归原作者 建武神奇 所有, 如有侵权,请联系我们删除。

“下一代WEB安全防护解决方案”的评论:

还没有评论