引言:
IDC第二年发布《中国云Web应用防火墙市场份额报告》(以下简称报告),报告显示2022年中国区云WAF市场阿里云市场份额占比超过第2、3、4名总和,依然保持第一名成绩。
自2016年,阿里云正式发布国内首个具备数据风控功能和智能检测双引擎的云WAF产品后,便以极强的技术创新能力快速占据亚太区市场份额第一,此后持续在每年的各大权威机构相关报告中,不论是市场域还是细分技术域均保持其绝对优势。
在本次报告中可以看到,与过去多年硬件WAF的强市场主导地位不同,中国云WAF市场增长态势明显。IDC 认为“在企业业务上云需求的持续拉动下,中国云 Web 应用防火墙市场在未来 5 年仍将保持快速的增长态势,并继续提升在整体 WAF 产品市场中的占比。”
云上安全角逐进入白热化,传统的攻防思路正在发生巨变。WAF作为较成熟的安全产品品类,传统的防护策略已经很难跟上愈加复杂的操作环境与威胁态势。突破单一的Web应用安全管理策略,WAAP平台将是未来的必然趋势。
目前,阿里云WAF已形成非常完善的WAAP防护体系:
01.业界最完整的接入方式设计
代理接入、透明接入、服务化接入、混合云(多云)接入,不限接入环境、无需配置一键开启、统一云端管理与策略下发;
02.主动智能防御体系
- 基于阿里云平台海量网络流量数据,打造百万量级业务风险情报通用业务风险识别与防护能力;
- 根据神经网络构造多模态特征,对流量进行多维度刻画分层,构建流量意图分析智能引擎,区分正常与恶意流量以降低误报;
- 针对不同业务安全场景下的风险流量变异,实现七成以上的自动化防护策略与自主对抗;
- 利用阿里云自研的流量模式学习算法,定义 “白”流量,为域名自动生成并更新定制化的安全策略,突破未知0Day防御盲区。
03.深度延展防护 - 超过7000种客户端指纹识别BOT管理,接入转发架构跟WAF完全一样,全面支持网页、H5、原生APP、API、公众号、小程序等全场景Web应用防护。
- 全生命周期API资产管理,脆弱性API高敏度发现、自学习访问规则,主动监测异常行为、防护闭环,自动化威胁处置。
- 流量层打通防护,WAF和其他云产品都已对接阿里云DDoS防护产品,免费接入DDoS基础防护,也可以一键接入DDoS原生防护,或跟高防IP等形态配合使用,获取T级别的DDoS防护能力。
一个产品,更是一整个应用层全场景防护平台。集高效防护、深度延伸、可见可查、全面接入、原生韧性、智能引擎于一身,深度打通BOT管理、API安全、流量层DDoS防护。阿里云WAF基于云原生天然优势,不断完善Web应用层防护韧性,构建领先于行业的WAAP技术架构,从使用到价格,压缩客户各项安全成本。
云上攻防能力快速进化,云下或多云架构是否也可以使用云上同等防护力的阿里云WAF?
当然!
去年7月,阿里云WAF3.0特别推出混合云服务化场景,针对客户流量无法上云,或因延迟/网络限制等原因需要在IDC或其他云部署的情况,阿里云支持将WAF节点以软件化方式,部署在客户的虚拟机/物理机等线下或云上环境中,能够在不改变数据传输链路和网络架构的同时,实现对应用层流量的安全检测,只需30分钟即可本地化部署这个“最强外脑”。
阿里云WAF为困在线下或多云架构的混合云客户,提供了Web应用防护的新思路,同时也成为了WAF全品类的“新卷王”。
- 成本,极致压缩
通过云端控制台统一威胁管理与策略配置,运营精力占用更少。订阅模型灵活,支持按月服务,所需费用更低。可使用利旧机器部署Qps单位成本最低。
- 防护,深度又灵活
基于云上海量数据,30秒自动更新云WAF威胁情报策略与最新0Day高危漏洞防护能力。支持开通BOT防护,相关能力与云上对齐。
- 高可用,稳定又高效
目前混合云服务化单场景已为客户防御了百万Qps流量,平均延时低于5ms;支持自动和手动Bypass,保障故障应急时将流量直接转回源站,不影响业务体验。
场景案例
一家大型智能电子设备制造商,业务分别部署在部署在阿里云与线下机房。
客户痛点:
- 客户业务流量规模较大,几十万Qps量级
- 对延时和稳定性要求极高,希望具备一键Bypass应急能力
- 有省级攻防演练需求,希望能实时获取最新防护规则和威胁情报
布控效果:
- SDK高效接入并且对业务原流量模式零影响;
- 峰值攻击拦截数达百万级别;
- 自动化0Day防御能力,极大降低客户运维成本,防护能力升级体感明显。
- 在国家级/省级攻防演练、活动大促等特殊节点,混合云服务化场景同样支持重保服务的灵活增设。
2022年7月阿里云发布了全新重构的WAF3.0大版本,除了推出混合云服务化场景,还对WAF底层的云原生集成架构、控制台的规则配置交互设计、计量计费逻辑做了全面的重构优化和升级,解决了大量原始架构上存在但较难处理的用户痛点,3.0版本发布之际便提供2.0->3.0的迁移工具帮助老用户自助迁移。
1. 全新规则配置逻辑
基于WAF3.0新版本防护对象(组)、规则模板的全新规则配置逻辑,ALB、MSE、FC等云产品的实例可以直接作为一个防护对象被WAF规则防护,而不再必须依赖域名,同时用户可以通过规则模板和防护对象的双重视角,高效管理全局的防护规则。
2.新增多项计费设计,更合理地降低成本
- 新增自助降配和退款支持;
- 新增弹性付费以帮助用户应对节日、大促等临时突发性流量场- 景下无法确定流量规格的问题。
- 按量计费将所有的计费项统一到同SeCU作为计费单元,并发布具备梯度定价的SeCU资源包,让使用量大的用户能够享受更低的价格。
- 新增计费保护设置,允许用户设定到达一定流量上线后就停止计费。避免用户因突发的CC攻击等原因产生天价账单。
3.全面的服务保障体系
阿里云WAF依托阿里云整体的服务体系,提供7x24全球工单、钉钉、电话等多种服务方式。对于有高等级安全需求的客户,还可以通过阿里云安全团队专属的托管检测与响应服务(MDR)得到资深安全专家的安全运营和托管服务。