信息化觀察網(wǎng)

本文來自FreeBuf，作者/yannichen。

近日，知名咨詢機(jī)構(gòu)Gartner發(fā)布2022云Web應(yīng)用程序和API保護(hù)魔力象限。當(dāng)前，云Web應(yīng)用程序和API保護(hù)市場迅速增長。

Gartner預(yù)測，到2024年，70%實(shí)施多云戰(zhàn)略的企業(yè)將青睞云Web應(yīng)用程序和API保護(hù)平臺(tái)（WAAP）服務(wù)，而不是WAAP設(shè)備和IaaS原生WAAP。

到2026年，40%的企業(yè)將根據(jù)API保護(hù)和Web應(yīng)用程序安全功能選擇WAAP供應(yīng)商，與2022年不足15%的比例相比有所上升。

到2026年，超過40%的擁有C端應(yīng)用程序的企業(yè)，將依靠WAAP來緩解僵尸攻擊，2022年該比例不到10%。

Web應(yīng)用程序和API保護(hù)平臺(tái)（WAAPs）主要保護(hù)面向公眾的網(wǎng)絡(luò)應(yīng)用程序和API，可以緩解大部分運(yùn)行時(shí)攻擊，尤其是開放網(wǎng)絡(luò)應(yīng)用安全項(xiàng)目（OWASP）的網(wǎng)絡(luò)應(yīng)用程序威脅、自動(dòng)化威脅和對(duì)API的專門攻擊。

WAAP供應(yīng)商與API威脅保護(hù)供應(yīng)商競爭激烈，API安全正成為WAAP評(píng)估的一個(gè)關(guān)鍵部分。Gartner觀察到，今年評(píng)估的供應(yīng)商提供的API保護(hù)產(chǎn)品有明顯的改進(jìn)，但集成到云計(jì)算WAAP中的API保護(hù)功能更像初始版本，缺乏深度，尤其是發(fā)現(xiàn)模塊提供的API警報(bào)和業(yè)務(wù)背景管理方面。更多的供應(yīng)商推出了差異化的API發(fā)現(xiàn)功能，例如對(duì)惡意和授權(quán)機(jī)器人進(jìn)行細(xì)粒度分類、替代傳統(tǒng)的干擾性驗(yàn)證碼服務(wù)等等。

在過去的一年里，使用ML檢測和誤報(bào)率已經(jīng)趨于平緩，沒有明顯的改善，供應(yīng)商也不再強(qiáng)調(diào)，這反映了市場對(duì)“ML Hype”的普遍疲勞。ML對(duì)于克服大規(guī)模管理WAAP配置仍然有效，同時(shí)它提供變更工作流程管理、可靠的配置審計(jì)和變更跟蹤，以及全局設(shè)置、組設(shè)置和應(yīng)用程序設(shè)置的良好組合。然而，Gartner沒有觀察到這一領(lǐng)域有任何明顯的改進(jìn)。

2022云Web應(yīng)用程序和API保護(hù)魔力象限

【2022云Web應(yīng)用程序和API保護(hù)魔力象限】

截至2022年8月，Gartner評(píng)選出的云Web應(yīng)用程序和API保護(hù)領(lǐng)導(dǎo)者為Akamai、Cloudflare、Imperva；挑戰(zhàn)者為AWS、Fastly；利基玩家微軟、F5、Fortinet、Barracuda、ThreatX；愿景者Radware。

分布式WAAP成為WAAP市場的一個(gè)獨(dú)立部分

越來越多的云計(jì)算WAAP供應(yīng)商正在為更加自動(dòng)化的云計(jì)算應(yīng)用增加部署選項(xiàng)，例如Kubernetes sidecars、容器化WAAP和WAAP代理。然而，這一領(lǐng)域的前景仍然不明朗。但嵌入式WAAP不能取代云交付的WAAP，以滿足每一個(gè)用例和要求，如DDoS保護(hù)或在各種環(huán)境上托管數(shù)百個(gè)應(yīng)用程序前快速部署的能力。

分布式WAAP旨在改善DevSecOps實(shí)踐，通過“左移”技術(shù)保護(hù)新開發(fā)的應(yīng)用程序，但它們并不能解決傳統(tǒng)和第三方應(yīng)用程序的“右移”需求。未來，擁有成熟的DevOps實(shí)踐的大型企業(yè)需要云網(wǎng)關(guān)WAAP和分布式WAAP組合，以實(shí)現(xiàn)DevSecOps和更好地保護(hù)現(xiàn)有應(yīng)用。

未來幾個(gè)月的愿景可能是，WAAP代理、容器和虛擬機(jī)將成為集成網(wǎng)絡(luò)和分布式WAAP的組成部分。如果分布式WAAP想實(shí)現(xiàn)大規(guī)模部署，最大的挑戰(zhàn)是集中但靈活的管理監(jiān)控。供應(yīng)商還必須確定哪些功能最適合分布式WAAP，例如對(duì)某些工作負(fù)載的針對(duì)性的保護(hù)，以及哪些應(yīng)在網(wǎng)絡(luò)層面上執(zhí)行，如API發(fā)現(xiàn)和僵尸緩解。