Gartner WAAP定义
WAAP(Web Application and API Protection):Web 应用程序和 API 保护平台 (WAAP) 缓解了广泛的运行时攻击,尤其是针对Web应用程序威胁、自动化威胁和API 攻击。云WAAP是云交付的服务,主要保护面向公众的 Web 应用程序和 API。
WAAP 的核心功能包括:
-
Web应用程序防火墙(WAF):WAF结合了积极的安全模型、签名、启发式和异常检测,以检测和防止利用应用程序漏洞。
-
分布式拒绝服务攻击(DDoS)保护:通过加带宽、速率限制和异常检测来缓解flood和“低速慢速”攻击。
-
Bot访问管理(防爬):通过基于信誉、指纹、启发式和机器学习技术鉴别自动化访问行为。
-
API保护:发现、分类并管控 API 流量。
Gartner WAAP 魔力象限(2022.08)
预测
-
到 2024 年,在生产环境中为 Web 应用程序实施多云战略的组织中,70% 的组织将青睐云 Web 应用程序和 API 保护平台 (WAAP) 服务,而不是 WAAP 设备和 IaaS 原生 WAAP。
-
到 2026 年,40% 的组织将根据其高级 API 保护和 Web 应用程序安全功能选择 WAAP 提供商,而 2022 年这一比例还不到 15%。
-
到 2026 年,超过 40% 的组织拥有面向消费者的应用程序(最初仅依赖 WAAP 来缓解爬虫程序)将从专业供应商那里寻求额外的异常检测技术——高于 2022 年的不到 10%。
WAF厂商角度
-
集成API防护能力顺理成章:WAAP的四个主要能力包括:WAF、抗D、反爬、API保护。其中针对云WAF厂商,前三种能力早已融合。由于近年来随着API起量,边界防御带上API的防护能力是非常自然的一个拓展。
-
云服务继续替代传统硬件:Gartner认为WAAP市场中,「云服务」的方式将逐步替代传统的硬件WAF、IaaS WAF交付方式。这里其实我们看到Leaders象限的Akamai、Cloudflare和Imperva早已走出此模式的实践,不必赘述。
-
应对API攻击有一定局限:API的攻击面主要有二,一是漏洞攻击,二是异常行为。从漏洞攻击角度来讲WAF厂商所积累的漏洞库默认是覆盖API的,因此以漏洞防护为核心能力再包装上一些API资产梳理、基于规则的API参数级别管控,作为API防护模块是非常容易的。而另一方面,API越权、未授权访问、大量拖取数据等异常行为逐渐成为了API威胁的主流(参考近期的几次大规模数据泄露事件,真凶并非漏洞攻击,而是异常API行为)。这方面威胁从技术角度讲是难以通过WAF规则来检测或防护的,需要行为基线、异常检测、基于统计的策略组合、考虑业务特性、甚至结合威胁情报,更类似于UEBA和风控方面的技术栈,同时也意味着要做大量的数据存储和分析,成本结构与WAF完全不同。因此,Gartner也提到,未来将有更多企业不满足于WAAP提供的异常检测能力,而是求助于其他专项供应商。
API安全厂商角度
API安全赛道发展时间很短,在WAF这个成熟赛道,头部厂商已经整合了云、CDN与安全三大块基础设施服务的情况下,API厂商想要反卷WAF厂商是不现实的。从API安全解决方案出发,仅靠旁路分析识别API异常行为不够闭环,还差一个管控和阻断,这里同样也面临着一个WAF「性能」和「智能」冲突的问题,还涉及到SaaS服务成本结构问题,这里就涉及到一个旁路检测和串行阻断的联动,主要有以下几种模式:
-
API厂商提供核心检测能力,联动云平台/云WAF/云API网关 对攻击行为进行阻断。
-
API厂商提供核心检测能力,联动企业OP的WAF/IPS/API网关 对攻击行为进行阻断。
-
API厂商提供自有流量探针下放到 VM、K8s、Mesh、网关 的关键节点形成流量采集+管控一体化方案。
-
API厂商打包API网关,或者API网关厂商打包安全数据分析能力,形成整体的 管控-分析-防护 解决方案。
原文始发于微信公众号(乐枕迭代日志):Gartner发布WAAP魔力象限:WAF+API+云服务
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论