安全建设向云上应用业务延伸,相关监管日趋严格
当前企业数字化进程不断加速,企业安全建设向云上应用延伸。企业上云已成大势所趋,云上安全成为企业数字化转型趋势下不可忽视的重要因素。中国信通院发布的《云计算白皮书(2023年)》显示,我国云计算市场持续高速增长,2022年云计算市场规模达4550亿元。其中,公有云市场规模增长40.93%至3256亿元,私有云市场增长25.3%至1294亿元。预计2025年我国云计算整体市场规模将突破万亿元。在大模型、算力等需求刺激下,市场仍将保持稳定增长。随着云时代的到来,企业上云成为越来越多企业的选择,Web或APP服务成为企业核心业务的载体,Web应用攻击已成为企业面临的主要安全问题之一。
WAAP的定义
WAAP,即WebApplicationandAPIProtection的缩写,指Web应用程序与API保护。WAAP是一种综合性的多层防护解决方案,用于保护Web应用程序和API免受各种网络攻击,例如SQL注入、跨站脚本攻击、跨站请求伪造、撞库、爬虫、DDoS攻击、API接口滥用等。WAAP可通过多层防护规则提供可靠、安全的Web应用程序和API保护平台,为企业业务连续性和数据安全保驾护航。
WAAP的构成
WAAP,作为多层防护解决方案,由以下四部分构成,分别是Web应用程序防火墙(WAF)、API保护、分布式拒绝服务攻击(DDoS)防御及Bot访问管理。
WAAP的优势
2021年,Gartner将多年来发布的WAF魔力象限改为了WAAP魔力象限,进一步扩展了安全防护范围和安全深度。面对愈加复杂的Web环境、不断增多的应用和层出不穷的攻击手段,传统WAF存在一定防护局限性,而WAAP可抵御日益复杂的网络攻击,已成为抵御威胁的多层防护解决方案。
与传统WAF相比,WAAP存在的优势包括两方面。一是实现Web应用程序和API的统一管理。WAAP可满足企业任何Web应用程序和API的安全防护需要,构建全方位应用安全防护体系,为企业提供多种业务接入的方式,包括Web、API和H5页面等的安全防护,提供可视化报告管理,实现Web安全一体化管理。二是进行多维度统一防护。从Web应用安全防护、DDoS攻击防御、Bot管理到API安全防护等多纬度构建Web应用安全防御体系,自适应业务快速变化,有效识别与阻挡模拟正常业务操作的自动化攻击、网页零日漏洞探测等业务及应用的攻击行为,轻松解决业务面临的撞库、恶意注册、恶意爬虫、应用DDoS等攻击行为。
WAAP的发展
随着企业数字化进程不断加速,应用安全面临多重威胁,新型攻击方式层出不穷。企业正面临严峻的安全防护挑战,亟需寻找更可靠、全面的安全解决方案。在此情况下,WAAP应运而生。随着WAAP理念的提出,国内外WAF厂商迅速跟进,通过收购动作完善WAAP能力。例如,2019年1月,Radware收购了Bot缓解行业的先驱之一ShieldSquare。Bot管理是WAF安全的延伸,Radware已将WAF与Bot管理技术进行整合,通过指纹识别对动态IP攻击提供防护,以抵御盗用数据、撞库攻击、暴力破解攻击等行为,从而完善其WAAP能力。我国WAF厂商和云服务商逐步构建Bot防护功能和API防护能力,加速落地切实可行的WAAP安全防护体系,既有新兴的专注WAAP解决方案的厂商出现,传统WAF厂商和云服务商也逐步构建Bot防护功能和API防护能力。据Gartner预测,到2024年,70%实施多云战略的企业将青睐云Web应用程序和API保护平台(WAAP)服务;到2026年,超过40%的拥有C端应用程序的企业,将依靠WAAP来缓解僵尸攻击。