近日,全球领先的IT市场研究和咨询公司IDC发布《中国WAAP厂商技术能力评估,2024》和《中国云Web应用防火墙市场份额,2023》报告,阿里云在WAAP测评中成为唯一一家7项能力全部满分的厂商,评分远超行业平均线,在中国云WAF市场份额、中国公有云WAF市场份额上,均以绝对优势位居第一,获得技术能力和市场份额双认可。
该技术能力评估报告是面向WAAP的权威评测,通过对中国市场中主要 WAAP 产品提供商的技术评估,结合对大量最终用户的客观访谈,最终有12个厂商入围报告。报告围绕WAF、AI辅助能力、API保护及监视、BOT流量管理、威胁情报、应用层DDoS攻击防御及行业应用共7个维度进行评估,阿里云在7个维度均获满分,也是唯一一家满分的厂商。
IDC评论:
「阿里云致力于确保云上每项业务的安全,并通过提供创新的安全产品与服务,让用户轻松共享阿里云安全能力,为业务保驾护航。」
自2016年,阿里云正式发布云WAF产品后,便快速占据亚太区市场份额第一,落地互联网、零售、交通、电商、汽车、教育等行业,此后在每年各大权威机构的相关报告中,均保持技术能力和市场份额的绝对领先优势。
「云」正在逐步重构传统攻防思路,阿里云WAF产品经过多年发展,早已突破单一的Web应用安全管理防护功能,形成了完善的WAAP(Web Application and API Protection)防御体系,提供包括Web基础防护、API安全、BOT管理等能力,并和云基础设施深度耦合,实现跟CDN、DDoS防护等产品的联动联防。AI时代,阿里云WAF持续演进,在产品先进性、智能性、易用性方面,提供给客户更优的产品体验。
API安全2.0全新发布:复杂中的极简运维
阿里云安全发布API防护产品已将近三年,为客户提供API资产全生命周期监控管理,发现和管理业务中存在的全量API接口资产,并提升API接口在数据流转过程中的安全性,现已全面覆盖OWASP提出的API TOP 10安全风险。
近期,阿里云API安全发布了全新2.0版本,对产品架构进行了全面升级改造,在检测时效性、丰富度、准确率以及使用体验等方面均有大幅提升。
近实时的检测能力
提供自动化识别API接口资产、分析API敏感数据、业务用途、服务对象、生命周期状态、流量成分等能力,通过多维度构建API基线画像,可实现API分类分级管理。并支持将相关资产、告警信息推送到日志服务,方便与用户内部运维系统联动集成,提升运维效率;
接口脆弱性发现能力增强
当前支持六大类(覆盖接口设计、接口开发规范、权限管理、账号安全、敏感数据保护、访问控制)总共38种接口的风险检测能力,对API常见风险,例如未授权接口敏感数据泄漏、内部应用弱口令等均可实现检测;
强化攻击检测能力
支持五大类(覆盖API滥用、基线异常、账号风险、响应异常、敏感数据泄露)总共25种API异常行为检测,例如针对接口数据爬取场景,攻击者可以通过遍历ID值来获取个人敏感信息,造成数据泄漏风险,阿里云API安全可基于已建立的基线,持续监控并及时预警异常行为;
灵活的自定义检测
进一步开放了自定义策略能力,支持客户根据各自的业务特性和安全需求自定义接口识别、风险/攻击、敏感数据、生命周期、业务用途等检测策略。例如在自定义攻击检测方面,新版本支持对各请求参数、敏感数据去重统计,可更精确的发现接口滥用如数据遍历、撞库、爆破等攻击行为。
经过长期的技术沉淀与持续的产品能力迭代,阿里云API安全已逐步构建起成熟完善的产品功能矩阵,服务了数百个不同行业的客户,在汽车、金融、医疗、教育、零售、互联网等行业均有成熟应用和落地案例。
融入AI的新一代WAAP
随着网络空间环境越来越复杂,防护的难度、产品功能的复杂性、产品的操作难度都呈现指数级增长。在大模型和AI飞速发展的今天,机器学习、自然语言交互等技术所带来的智能化、自动化的防御手段,也许是WAAP未来的核心发展方向。阿里云安全早已开始了AI能力与安全相融合的探索,通过机器学习实现实时的防御策略调整并及时阻断攻击,在带来防御效果提升的同时也有效帮助客户降低运维成本。
BOT攻击下的自动化对抗
随着「数据」价值的逐步提升,BOT的攻击愈发多变和复杂,对抗极为激烈。基于静态规则的手段往往难以及时防御。阿里云WAF采取AI智能防护技术,对四层/七层指纹、访问时序、键/鼠/触生物行为信息等数据源进行分析学习,能够发现隐藏的攻击模式,及时预测趋势并提前应对潜在风险。
例如下图展示了「滑块验证码」从左向右滑动场景下,人类轨迹和BOT轨迹图对比,通过对轨迹的调取和分析,可快速的分辨BOT攻击并防御。
AI加持下的智能白名单
由于行业、业务场景、开发框架等诸多因素,客户业务流量存在“千人千面”的特点,流量层的检测很难用统一的规则策略进行防御。而常规的检测方式往往受制于全局统一的规则策略,在场景的适配性和灵活性上存在弊端,特别是基于流量的特征向量匹配的方式,客户往往只能在误报和漏报间取舍。
阿里云WAF从自动化流量分析入手,推出了智能白名单功能。可实现基于客户的实际业务流量,通过多维度的归一化处理提取特征,构建个性化的基线模型,当业务正常流量发生改变时,会触发白名单的自动学习机制,并重新生成与之适应的模型。当发现某些规则策略不适合作用在特定Header、Body、URI中时,会触发自动下发接口级别的加白机制,大大降低了人工运营的成本,从实效性和准确性上均带来了质的提升。
全场景的安全防护
阿里云WAF还具备丰富的接入形态,除传统的CNAME代理外,还可以被ALB/CLB/CDN/MSE/FC/ECS等云产品原生集成,为云上用户提供一键接入并防护的便捷体验和更稳定、低延迟的防护架构。
公共云部署模式
- CNAME接入:源站公网可达即可接入。
- 透明接入:支持CLB、ECS原生一键接入。
- SDK集成接入:支持ALB、MSE、FC等云产品原生一键接入。
混合云/多云部署模式
阿里云WAF可防护云上云下、多云混合、线下IDC、专有云环境,可支持私网回源至阿里云专线网络(VPC)针对互联专线或VPC之间的私网流量进行防护。
根据企业用户不同需求,阿里云WAF提供反向代理和SDK集成部署两种接入方式。其中SDK集成部署方案可以实现在对业务流量正常转发没有任何影响的情况下,复制一份流量至WAF防护集群进行检测,提供给客户高性能、更稳定的产品体验。
Web应用自90年代诞生以来,经历了个人PC、移动互联网、云计算等浪潮的冲击,不断衍生出新的形态,安全防护的重点也随之变化。如今,AGI大模型的盛行和微服务架构广泛采用,让API保护和BOT防护需求继续上升,同时企业IT基础设施也愈发复杂,混合云部署方案成为主流......阿里云WAAP产品也将持续迭代更新,在各类复杂场景下为用户提供统一、灵活、高效的一体化Web安全解决方案。