【瑞数信息】云上WAAP发展洞察报告
安全建设向云上应用业务延伸,相关监管日趋严格
当前企业数字化进程不断加速,企业安全建设向云上应用延伸。企业上云已成大势所趋,云上安全成为企业数字化转型趋势下不可忽视的重要因素。中国信通院发布的《云计算白皮书(2023年)》显示,我国云计算市场持续高速增长,2022年云计算市场规模达4550亿元。其中,公有云市场规模增长40.93%至3256亿元,私有云市场增长25.3%至1294亿元。预计2025年我国云计算整体市场规模将突破万亿元。在大模型、算力等需求刺激下,市场仍将保持稳定增长。随着云时代的到来,企业上云成为越来越多企业的选择,Web或APP服务成为企业核心业务的载体,Web应用攻击已成为企业面临的主要安全问题之一。
WAAP的定义
WAAP,即WebApplicationandAPIProtection的缩写,指Web应用程序与API保护。WAAP是一种综合性的多层防护解决方案,用于保护Web应用程序和API免受各种网络攻击,例如SQL注入、跨站脚本攻击、跨站请求伪造、撞库、爬虫、DDoS攻击、API接口滥用等。WAAP可通过多层防护规则提供可靠、安全的Web应用程序和API保护平台,为企业业务连续性和数据安全保驾护航。
WAAP的构成
WAAP,作为多层防护解决方案,由以下四部分构成,分别是Web应用程序防火墙(WAF)、API保护、分布式拒绝服务攻击(DDoS)防御及Bot访问管理。
WAAP的优势
2021年,Gartner将多年来发布的WAF魔力象限改为了WAAP魔力象限,进一步扩展了安全防护范围和安全深度。面对愈加复杂的Web环境、不断增多的应用和层出不穷的攻击手段,传统WAF存在一定防护局限性,而WAAP可抵御日益复杂的网络攻击,已成为抵御威胁的多层防护解决方案。
与传统WAF相比,WAAP存在的优势包括两方面。一是实现Web应用程序和API的统一管理。WAAP可满足企业任何Web应用程序和API的安全防护需要,构建全方位应用安全防护体系,为企业提供多种业务接入的方式,包括Web、API和H5页面等的安全防护,提供可视化报告管理,实现Web安全一体化管理。二是进行多维度统一防护。从Web应用安全防护、DDoS攻击防御、Bot管理到API安全防护等多纬度构建Web应用安全防御体系,自适应业务快速变化,有效识别与阻挡模拟正常业务操作的自动化攻击、网页零日漏洞探测等业务及应用的攻击行为,轻松解决业务面临的撞库、恶意注册、恶意爬虫、应用DDoS等攻击行为。
WAAP的发展
随着企业数字化进程不断加速,应用安全面临多重威胁,新型攻击方式层出不穷。企业正面临严峻的安全防护挑战,亟需寻找更可靠、全面的安全解决方案。在此情况下,WAAP应运而生。随着WAAP理念的提出,国内外WAF厂商迅速跟进,通过收购动作完善WAAP能力。例如,2019年1月,Radware收购了Bot缓解行业的先驱之一ShieldSquare。Bot管理是WAF安全的延伸,Radware已将WAF与Bot管理技术进行整合,通过指纹识别对动态IP攻击提供防护,以抵御盗用数据、撞库攻击、暴力破解攻击等行为,从而完善其WAAP能力。我国WAF厂商和云服务商逐步构建Bot防护功能和API防护能力,加速落地切实可行的WAAP安全防护体系,既有新兴的专注WAAP解决方案的厂商出现,传统WAF厂商和云服务商也逐步构建Bot防护功能和API防护能力。据Gartner预测,到2024年,70%实施多云战略的企业将青睐云Web应用程序和API保护平台(WAAP)服务;到2026年,超过40%的拥有C端应用程序的企业,将依靠WAAP来缓解僵尸攻击。
【报告内容看点】
WAAP成为未来安全防护发展方向
WAAP成为下一代Web安全防护解决方案
WAAP核心能力要求
WAAP安全防护体系建设思路
随着数字时代的飞速发展,银行业作为金融领域的重要组成部分,正面临着前所未有的改变。金融科技的迅猛发展,各种新型业务模式和技术手段不断涌现,为银行业带来了巨大的发展潜力。与此同时,大量业务风险也随之凸显。
数字化的浪潮下,银行业面临着诸多业务安全层面新挑战。一方面,随着在线支付、移动银行、在线金融等新型金融业务的普及,银行业正进行着交易流程的转型,同时会带来诸如数据泄露、身份盗用、电信诈骗等交易风险。另一方面,金融科技的快速发展也带来了新的合规挑战,随着云计算、大数据、区块链等新兴技术的出现,银行业需适应快速转型,积极应对可能产生的如数据隐私、信息安全等相关安全问题。
基于此,中国民生银行与中国信息通信研究院云计算与大数据研究所联合撰写《银行业业务安全体系建设白皮书》,旨在通过梳理银行业面临的业务安全核心问题,帮助银行业机构深入了解当前行业的业务安全挑战和趋势,加强安全管理和风险防范能力,保护客户的资产和信息安全,以促进业务创新和业务平稳安全进行。
