近日, Gartner发布《Market Guide for Cloud Web Application and API Protection》报告。阿里云凭借阿里云Web应用防火墙(Alibaba Web Application Firewall),被报告认定为云WAAP代表厂商(Representative Vendors)之一。我们相信,此次入选代表着Gartner对阿里云智能化、一体化、原生化的肯定。
WAAP市场的总体趋势是向云原生集成,阿里云WAF3.0为客户提供与云基础设施高度耦合的WAAP解决方案,覆盖Web应用防护、API保护、BOT防护和DDoS防护,并且支持云原生的方式一键开启,简化接入流程,利用AI加持的智能化防护引擎,进一步强化Web安全防护效果,降低用户的运营成本。
API安全与合规是亮点
报告指出,“API安全是企业选择云WAAP解决方案过程中重要的关注点和驱动因素。”阿里云为客户提供API全生命周期安全防护,并持续提升防御水平。
发布API安全合规审查功能
国家互联网信息办公室公布的《数据出境安全评估办法》要求存在数据出境行为的企业进行自评估并及时上报。数据出境的方式有多种,而通过API接口流转是常见出境方式之一。
阿里云近期发布的API安全合规审查功能,在通过被动流量学习出所有API接口的基础上,进一步分析是否有个人信息通过API接口流转至非中国内地区域的行为,如有,则可以进一步分析:
- 出境的个人信息种类以及每种个人信息关联到自然人的数量;
- 存在出境行为的域名以及TOP API接口;
- 数据流转到非中国内地的具体地区以及数据量级。
用户可以通过API安全的合规审查功能来盘点数据出境行为是否符合预期,进一步完善申报报告。
发布API溯源分析能力
近年敏感数据泄露事件频出,通常企业在面临突发事件时不具备快速响应的能力,比如当判断一批个人信息被攻击者获取后,无法快速定位出入侵事件发生的时间、攻击入口API以及泄露的数据量级,企业通常会手足无措,不知如何下手。
WAF作为应用安全网关,是业务的流量入口。阿里云近期发布的API安全溯源分析能力,支持在用户授权的前提下,加密记录流转的数据内容,当出现信息泄露事件时,支持用户通过单条数据快速定位流转的时间点、API接口以及访问来源IP,通过进一步关联分析该IP或者API接口的数据流转量级来判断是否为数据泄露的源头,帮助企业提高应急响应的效率。
AI技术加持,低误报高准确率
阿里云将人工智能/机器学习技术应用于Web安全防护与BOT管理,有效降低误漏报率,提升准确率。
基础安全防护的AI应用
由于不同业务属性的流量特征各不相同,通常安全产品通用的一套防护策略难免出现误报和漏报的问题,误报和漏报就像是在天平的两端,安全运营人员需要花费精力分析安全日志,并通过添加白名单等来适配规则,这无疑增加了安全运营成本。
各个业务场景的差异又会形成了千人千面的业务流量特征,往往标准化的基线模型或者规则库容易造成对业务流量的误检测,从而影响业务正常的运行。而当企业需要对不同场景制定不同的规则集合时又需要投入大量的运营成本,此时智能化的规则运营就显得尤为必要,智能规则引擎解决了单一规则组的局限性的问题,可以更好的针对不同业务场景定制出不同的规则集合,同时节省了人工运营的成本。
为了解决该问题,阿里云WAF内置智能白名单功能,会依据用户的流量特征来训练基线,并针对拦截流量进行智能校准,例如,某个特定的请求参数或行为触发大量离散IP的拦截,同时请求的特征符合日常访问基线,该功能将自动生成API级别的白名单,实现安全防护策略的千人千面,从而最大程度的平衡误报和漏报,智能化降低用户的运营成本。
BOT管理的AI应用
机器人通常有趋利性,例如零售行业的热门商品发售被攻击者抢购一空,再到二级市场转卖获利,由于与利益相关,攻防对抗异常激烈,基于静态特征的拦截通常只能获得短暂的防护效果提升,无法长期维持比较高的防护水位。
阿里云WAF的BOT管理能力支持网页/H5(自动集成SDK)和原生APP(手工集成SDK)两类场景,通过SDK,客户端将上报浏览器或者APP所处的环境信息,进一步结合访问时序的分析,AI智能防护模块将自动化刻画攻击者ID,跟踪其访问行为,自主学习,发现隐匿的攻击流量,做出更加智能的决策,提升爬虫的检测率,降低用户的配置维护成本。
去年升级的阿里云WAF3.0,支持服务化接入,支持ALB/MSE/FC/SAE等阿里云网关组件集成,一键接入防护,简化接入流程,其中服务化的接入方式,WAF只作为安全模块,不参与转发,极大提升架构稳定性。同时阿里云WAF、DDoS防护与与DCDN集成,为客户提供完善的边缘安全加速一体化方案,请求流量会经过WAF安全引擎的检测处理,然后再进行加速和缓存后到达源站,既保证了安全防护效果,又实现了访问加速。阿里云WAF致力于不断向原生化安全防护演进,为客户在云上提供越来越简单的安全选择,越来越智能的安全防御。
*Gartner, Market Guide for Cloud Web Application and API Protection, 13 November 2023 Gartner 并未在其研究报告中支持任何供应商、产品或服务,也并未建议科技用户只选择该等获最高评分或其它称号的供应商。Gartner 的研究报告含有 Gartner 研究与顾问组织的意见,且该意见不应被视作事实陈述。就该研究报告而言,Gartner 放弃做出所有明示或默示的保证,包括任何有关适销性或某一特定用途适用性的保证。GARTNER 是 Gartner, Inc. 和/或其关联公司在美国和国际上的商标和服务标识,并在获得许可的情况下在此使用。保留所有权利。
