|
|
Gartner 在 2022 年度“Gartner® Web 应用程序和 API 保护 (WAAP) 魔力象限™”报告中评估了 11 家供应商的“执行能力”和“愿景完整性”,并将 Cloudflare 评为“领导者”。
您可以在此处注册,免费获得一份报告。
我们认为,这一成就突显了我们在这一领域持续做出的努力和投入,我们致力于为用户和客户提供更优秀、更有效的安全解决方案。
持续保障应用程序安全性
Cloudflare 全球网络每秒能够处理 3600 多万次 HTTP 请求,因此我们能够对网络模式和攻击手段有前所未有的清晰了解。利用这一处理规模,我们可以有效区分干净流量与恶意流量,这样我们的 WAAP 产品组合就能够在边缘缓解 Cloudflare 所代理的十分之一的 HTTP 请求。
仅仅了解情况是不够的,随着新的用例和模式不断涌现,我们继续投入研究和新产品开发。例如,API 流量越来越多(在总流量中的占比超过 55%),我们预计这一趋势并不会减缓。为帮助客户处理这些新的工作负载,我们的 API 网关利用我们的 WAF,为结构良好的 API 流量带来了相较于基于 Web 的标准应用程序更好的可见性和缓解能力,为此,我们观察了各种不同的攻击模式。
我们认为,得益于我们在应用程序安全性领域的持续投入,我们在这一领域才占有一席之地,我们也要感谢 Gartner 的认可。
Cloudflare WAAP
Cloudflare 在 Web 应用程序和 API 保护 (WAAP) 大类下构建了多项功能。
DDoS 保护和缓解
我们的网络覆盖了 100 多个国家/地区的超过 275 个城市,是我们平台的主干,也是支持我们缓解任何规模的 DDoS 攻击的核心组件。
为帮助实现这一点,我们的网络有意采用了任播模式,并从所有位置广播相同的 IP 地址,这样我们就能将传入流量“拆分”为每个位置都可以轻松处理的易于管理的块,这一点在缓解大量分布式拒绝服务 (DDoS) 攻击时尤其重要。
将系统设计为几乎或完全不需要配置同时能够“永远在线”,确保攻击立即得到缓解。此外,我们还配有一些非常智能的软件,例如新的位置感知缓解,这样 DDoS 攻击便可轻松得到解决。
如果客户采用非常明确的流量模式,一键即可完全配置我们的 DDoS 托管规则。
Web 应用程序防火墙
我们的 WAF 是我们的应用程序安全性的核心组件,可确保黑客和漏洞扫描程序难以找到 Web 应用程序中的潜在漏洞。
这在零日漏洞开始暴露时非常重要,因为我们发现有恶意行为者在漏洞暴露后短短几小时之内就企图利用新的攻击手段。Log4J 以及最近的 Confluence CVE 就是我们观察到这种行为的两个例子。正因为如此,我们的 WAF 还得到了安全专家团队的支持,他们持续监控并制作/改进签名,确保我们为客户赢得宝贵时间,以便客户根据需要固化后端系统并打上补丁。此外,作为对签名的补充,我们的 WAF 机器学习系统会对每次请求进行分类,从而提供更广泛的流量模式视图。
我们的 WAF 具备许多高级功能,例如泄露凭据检查、高级分析以及警报和有效负载日志记录。
机器人管理
众所周知,Web 流量的很大一部分是自动流量,虽然并非所有自动流量都是恶意的,但有一些流量是不必要的,还可能是恶意的。
我们的机器人管理产品与我们的 WAF 并行工作,对每次请求进行评分,评估请求由机器人生成的可能性,这样您就可以通过部署 WAF 自定义规则来轻松过滤有害流量,而这一切都有赖于强大的分析功能支持。我们还维护了已验证机器人列表,您可以利用该列表进一步改进安全策略,从而简化工作。
如果您想阻止自动流量,则可借助 Cloudflare 的托管质询确保只会将机器人拒之门外,而不会影响真实用户的体验。
API 网关
按照定义,相对于浏览器使用的标准网页而言,API 流量的结构非常良好。而且,API 往往更贴合抽象的后端数据库和服务,更容易引起恶意行为者的注意,却常常被内部安全团队所忽视(影子 API)。
API 网关可以叠加在我们的 WAF 之上,帮助您发现基础设施提供的 API 端点以及检测流量流中可能表明存在破坏情况的潜在异常,包括容量和连续角度。
由于 API 的性质,API 网关也能够更轻松地提供不同于我们的 WAF 的积极安全模型:仅允许已知善意流量,而阻止其他一切内容。客户可以利用模式保护和相互 TLS 身份验证 (mTLS) 轻松实现这一点。
Page Shield
直接利用浏览器环境的攻击可能在一段时间内都不会被察觉,因为它们并不一定会破坏后端应用程序。例如,如果 Web 应用程序使用的任何第三方 JavaScript 库在实施恶意行为,很可能信用卡详情也在泄露给攻击者控制的第三方端点,而应用程序管理员和用户却毫不知情。这是 Magecart 的常见攻击手段,Magecart 是许多客户端安全性攻击中的一种。
Page Shield 解决客户端安全性问题的方法是积极监控第三方库,每当有第三方资产表现出恶意活动时都提醒应用程序所有者。它利用内容安全策略 (CSP) 等公开标准以及自定义分类器来保障覆盖范围。
Page Shield 就像我们的其他 WAAP 产品一样,完全集成在 Cloudflare 平台上,只需一键即可打开。
安全中心
Cloudflare 的新安全中心是 WAAP 产品组合的大本营。安全专业人士从这一个地方就可以广泛了解 Cloudflare 所保护的网络和基础设施资产。
接下来,我们计划让安全中心成为取证和分析的起始点,让您能够在调查事件的同时利用 Cloudflare 威胁情报。
Cloudflare 的优势
我们的 WAAP 产品组合是从单一水平平台交付的,这样您无需额外部署即可利用所有安全功能。此外,扩展、维护和更新完全由 Cloudflare 管理,这样您就可以专注于利用您的应用程序创造商业价值。
这甚至应用于 WAAP 之外的地方,因为尽管我们起初是为 Web 应用程序构建产品和服务,但我们凭借在网络中的地位,能够保护连接到互联网的任何内容,包括团队、办公室和面向内部的应用程序。这一切都从同一个单一平台进行。我们的 Zero Trust 产品组合现在是我们业务不可或缺的一部分,WAAP 客户只需点击几次即可开始利用我们的安全访问服务边缘 (SASE)。
如果您想要从管理和预算的角度巩固安全态势,应用程序服务团队可以使用内部 IT 服务团队用于保护员工和内部网络的同一平台。
持续创新
我们打造 WAAP 产品组合的过程是久久为功,就在过去一年,我们已经发布了超过五个 WAAP 产品组合安全产品主版本。为了展示我们的创新速度,请参阅我们的以下精品名录:
- API Shield 模式保护:基于签名的传统 WAF 方法(消极安全模型)并非总能很好地适用于结构良好的数据,如 API 流量。鉴于网络中的 API 流量增长迅猛,我们打造了新的增量产品,让您能够使用积极安全模型在边缘直接实施 API 模式,也就是只让结构良好的数据流入您的源 Web 服务器;
- API 滥用检测:作为 API 模式保护的补充,API 滥用检测每次在您的 API 端点上检测到异常时都会向您发出警告。这些警告可以由不寻常的流量流或不遵循正常流量活动的模式触发;
- 我们的新 Web 应用程序防火墙:核心 Web 应用程序防火墙是在我们的新边缘规则引擎基础上构建的,我们对其进行了彻底改造,从引擎内部机制一直到 UI,全部包括在内。性能得以提升,包括延迟情况以及阻止恶意有效负载的效果。我们还提供了崭新的功能,包括但不限于泄露凭据检查、帐户范围的配置和有效负载日志记录;
- DDoS 可自定义托管规则:为了提供额外的配置灵活性,我们开始公开我们的一些内部 DDoS 缓解托管规则,用于自定义配置,进一步减少误报,并允许客户根据需要提高阈值/检测频率;
- 安全中心:Cloudflare 关于基础设施和网络资产的视图,以及针对错误配置和潜在安全问题的警报和通知;
- Page Shield:基于不断增长的客户需求以及聚焦最终用户浏览器环境的层出不穷的攻击手段,Page Shield 可帮助您检测恶意 JavaScript 何时可能侵入您的应用程序的代码;
- API 网关:完全 API 管理(包括直接从 Cloudflare 边缘路由),其中集 API 安全性于一体,包括加密和相互 TLS 身份验证 (mTLS);
- 机器学习 WAF:作为我们的 WAF 托管规则集的补充,我们的新 ML WAF 引擎会对每一次请求进行评分,分值从 1(干净)到 99(恶意)不等,让您更加清晰地了解有效和非有效的恶意有效负载,提高我们检测针对您应用程序的攻击和扫描的能力;
展望未来
我们的路线图提供新的应用程序安全功能和对现有系统的改进。随着我们加深对互联网的认识,我们发现自己能够更好地保障您的应用程序安全。更多资讯,敬请关注。
Gartner, “Web 应用程序和 API 保护魔力象限”,分析师:Jeremy D'Hoinne、Rajpreet Kaur、 John Watts、Adam Hils, 2022 年 8 月 30 日
Gartner 和 Magic Quadrant 均为 Gartner, Inc. 和/或附属公司在美国和国际的注册商标,在此经许可使用。保留一切权利。
Gartner 不支持其研究出版物中提及的任何供应商、产品或服务,也不建议技术用户只选择那些获得最高评分或其他称号的供应商。
Gartner 研究出版物包含的是 Gartner 研究组织的意见,不应被视为事实陈述。Gartner 对本研究不承担任何明示或暗示担保,包括有关适销性或针对特定用途的适用性的任何担保。 |
|
发表于 2022-9-23 04:31:49