唯一七项全能满分认证,阿里云WAAP安全再获技术&市场双认可

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 防病毒版,最高20核 3个月
云安全基线管理CSPM免费试用,1000次1年
简介: AI时代的云WAAP

近日,全球领先的IT市场研究和咨询公司IDC发布《中国WAAP厂商技术能力评估,2024》和《中国云Web应用防火墙市场份额,2023》报告,阿里云在WAAP测评中成为唯一一家7项能力全部满分的厂商,评分远超行业平均线,在中国云WAF市场份额、中国公有云WAF市场份额上,均以绝对优势位居第一,获得技术能力和市场份额双认可。
7058E28B-99CC-4EF8-B3CE-7CABBDD8BFE1.png
该技术能力评估报告是面向WAAP的权威评测,通过对中国市场中主要 WAAP 产品提供商的技术评估,结合对大量最终用户的客观访谈,最终有12个厂商入围报告。报告围绕WAF、AI辅助能力、API保护及监视、BOT流量管理、威胁情报、应用层DDoS攻击防御及行业应用共7个维度进行评估,阿里云在7个维度均获满分,也是唯一一家满分的厂商。

IDC评论:

「阿里云致力于确保云上每项业务的安全,并通过提供创新的安全产品与服务,让用户轻松共享阿里云安全能力,为业务保驾护航。」

自2016年,阿里云正式发布云WAF产品后,便快速占据亚太区市场份额第一,落地互联网、零售、交通、电商、汽车、教育等行业,此后在每年各大权威机构的相关报告中,均保持技术能力和市场份额的绝对领先优势。

「云」正在逐步重构传统攻防思路,阿里云WAF产品经过多年发展,早已突破单一的Web应用安全管理防护功能,形成了完善的WAAP(Web Application and API Protection)防御体系,提供包括Web基础防护、API安全、BOT管理等能力,并和云基础设施深度耦合,实现跟CDN、DDoS防护等产品的联动联防。AI时代,阿里云WAF持续演进,在产品先进性、智能性、易用性方面,提供给客户更优的产品体验。

API安全2.0全新发布:复杂中的极简运维

阿里云安全发布API防护产品已将近三年,为客户提供API资产全生命周期监控管理,发现和管理业务中存在的全量API接口资产,并提升API接口在数据流转过程中的安全性,现已全面覆盖OWASP提出的API TOP 10安全风险。

近期,阿里云API安全发布了全新2.0版本,对产品架构进行了全面升级改造,在检测时效性、丰富度、准确率以及使用体验等方面均有大幅提升。

近实时的检测能力

提供自动化识别API接口资产、分析API敏感数据、业务用途、服务对象、生命周期状态、流量成分等能力,通过多维度构建API基线画像,可实现API分类分级管理。并支持将相关资产、告警信息推送到日志服务,方便与用户内部运维系统联动集成,提升运维效率;

接口脆弱性发现能力增强

当前支持六大类(覆盖接口设计、接口开发规范、权限管理、账号安全、敏感数据保护、访问控制)总共38种接口的风险检测能力,对API常见风险,例如未授权接口敏感数据泄漏、内部应用弱口令等均可实现检测;

强化攻击检测能力

支持五大类(覆盖API滥用、基线异常、账号风险、响应异常、敏感数据泄露)总共25种API异常行为检测,例如针对接口数据爬取场景,攻击者可以通过遍历ID值来获取个人敏感信息,造成数据泄漏风险,阿里云API安全可基于已建立的基线,持续监控并及时预警异常行为;

灵活的自定义检测

进一步开放了自定义策略能力,支持客户根据各自的业务特性和安全需求自定义接口识别、风险/攻击、敏感数据、生命周期、业务用途等检测策略。例如在自定义攻击检测方面,新版本支持对各请求参数、敏感数据去重统计,可更精确的发现接口滥用如数据遍历、撞库、爆破等攻击行为。

架构图3.jpg

经过长期的技术沉淀与持续的产品能力迭代,阿里云API安全已逐步构建起成熟完善的产品功能矩阵,服务了数百个不同行业的客户,在汽车、金融、医疗、教育、零售、互联网等行业均有成熟应用和落地案例。

融入AI的新一代WAAP

随着网络空间环境越来越复杂,防护的难度、产品功能的复杂性、产品的操作难度都呈现指数级增长。在大模型和AI飞速发展的今天,机器学习、自然语言交互等技术所带来的智能化、自动化的防御手段,也许是WAAP未来的核心发展方向。阿里云安全早已开始了AI能力与安全相融合的探索,通过机器学习实现实时的防御策略调整并及时阻断攻击,在带来防御效果提升的同时也有效帮助客户降低运维成本。

BOT攻击下的自动化对抗

随着「数据」价值的逐步提升,BOT的攻击愈发多变和复杂,对抗极为激烈。基于静态规则的手段往往难以及时防御。阿里云WAF采取AI智能防护技术,对四层/七层指纹、访问时序、键/鼠/触生物行为信息等数据源进行分析学习,能够发现隐藏的攻击模式,及时预测趋势并提前应对潜在风险。

例如下图展示了「滑块验证码」从左向右滑动场景下,人类轨迹和BOT轨迹图对比,通过对轨迹的调取和分析,可快速的分辨BOT攻击并防御。
架构图3_画板 1 副本.jpg
AI加持下的智能白名单

由于行业、业务场景、开发框架等诸多因素,客户业务流量存在“千人千面”的特点,流量层的检测很难用统一的规则策略进行防御。而常规的检测方式往往受制于全局统一的规则策略,在场景的适配性和灵活性上存在弊端,特别是基于流量的特征向量匹配的方式,客户往往只能在误报和漏报间取舍。

阿里云WAF从自动化流量分析入手,推出了智能白名单功能。可实现基于客户的实际业务流量,通过多维度的归一化处理提取特征,构建个性化的基线模型,当业务正常流量发生改变时,会触发白名单的自动学习机制,并重新生成与之适应的模型。当发现某些规则策略不适合作用在特定Header、Body、URI中时,会触发自动下发接口级别的加白机制,大大降低了人工运营的成本,从实效性和准确性上均带来了质的提升。

全场景的安全防护

阿里云WAF还具备丰富的接入形态,除传统的CNAME代理外,还可以被ALB/CLB/CDN/MSE/FC/ECS等云产品原生集成,为云上用户提供一键接入并防护的便捷体验和更稳定、低延迟的防护架构。3.jpg
公共云部署模式

  • CNAME接入:源站公网可达即可接入。
  • 透明接入:支持CLB、ECS原生一键接入。
  • SDK集成接入:支持ALB、MSE、FC等云产品原生一键接入。

混合云/多云部署模式

阿里云WAF可防护云上云下、多云混合、线下IDC、专有云环境,可支持私网回源至阿里云专线网络(VPC)针对互联专线或VPC之间的私网流量进行防护。

根据企业用户不同需求,阿里云WAF提供反向代理和SDK集成部署两种接入方式。其中SDK集成部署方案可以实现在对业务流量正常转发没有任何影响的情况下,复制一份流量至WAF防护集群进行检测,提供给客户高性能、更稳定的产品体验。

Web应用自90年代诞生以来,经历了个人PC、移动互联网、云计算等浪潮的冲击,不断衍生出新的形态,安全防护的重点也随之变化。如今,AGI大模型的盛行和微服务架构广泛采用,让API保护和BOT防护需求继续上升,同时企业IT基础设施也愈发复杂,混合云部署方案成为主流......阿里云WAAP产品也将持续迭代更新,在各类复杂场景下为用户提供统一、灵活、高效的一体化Web安全解决方案。

相关文章
|
2月前
|
云安全 机器学习/深度学习 人工智能
阿里云WAAP安全产品能力获IDC评测七项满分,市场份额第一
IT市场研究和咨询公司IDC发布《中国WAAP厂商技术能力评估,2024》和《中国云Web应用防火墙市场份额,2023》报告:阿里云凭借领先的WAAP安全产品性能,在IDC评测报告中成为唯一7项能力全部满分的厂商,并在中国云WAF市场份额、中国公有云WAF市场份额中,均以绝对优势位居第一,获得技术能力和市场双认可。
|
5月前
|
云安全 机器学习/深度学习 人工智能
市场份额第一!阿里云WAAP安全产品能力获IDC评测七项满分
市场份额第一!阿里云WAAP安全产品能力获IDC评测七项满分
121 9
|
6月前
|
人工智能 搜索推荐
ChatGPT(3.5版本)开放无需注册:算力背后的数据之战悄然打响
ChatGPT(3.5版本)开放无需注册:算力背后的数据之战悄然打响
93 0
|
安全 大数据
支付宝应邀参与全民健身运动码行业标准研制工作
支付宝应邀参与全民健身运动码行业标准研制工作
114 0
|
开发框架 人工智能 Cloud Native
阿里云开发者两活动获评2021中国最受开发者欢迎的技术活动
阿里云开发者两活动获评2021中国最受开发者欢迎的技术活动
阿里云开发者两活动获评2021中国最受开发者欢迎的技术活动
|
机器学习/深度学习 安全 区块链
隐私计算顶级赛事,摩斯夺两项第一
近日,2021年iDASH国际隐私计算竞赛正式公布比赛结果,来自蚂蚁集团的蚂蚁链摩斯团队斩获同态加密、联邦学习两项第一。
197 0
隐私计算顶级赛事,摩斯夺两项第一
|
物联网
秘密开发一年多,解密奥运史上首个数字云徽章
2021年东京奥运会开幕了,这是一届特殊的奥运会,在几乎没有现场观众的情形下,全球观众首次以“云”的方式观看奥运,阿里云全程提供技术支撑与保障。而在开幕前,一枚小小的徽章,让全球媒体提前感受到云的魅力。
236 0
秘密开发一年多,解密奥运史上首个数字云徽章
|
前端开发 算法 数据挖掘
俄罗斯央行:急需数字卢布,不会推迟 CBDC 测试;腾讯发布多个 Web3 岗位招聘信息;V 神:自己对以太坊的影响力不断下降 | 区块链周报
区块链周报栏目从产业动态、技术进展和政策监管等方面,为您总结了本周区块链领域发生的头条事件,让您更快速了解行业最新动态。
131 0
|
存储 机器学习/深度学习 开发者
开放下载!《长安十二时辰》爆款背后的优酷技术秘籍首次公开
《长安十二时辰》一经播出便红遍全网,从智能算法到音视频创新技术,从智能档的技术挑战到高可用的媒资平台,成就这华丽视效的爆款背后,优酷技术都用到了哪些“武林秘籍”?
76518 0
开放下载!《长安十二时辰》爆款背后的优酷技术秘籍首次公开
|
双11
九年双11互联网技术超级工程 | 免费资料库
阿里的双11是一次全球商业、科技、数据、智能的大协同,是一个商业社会的大协同,更是一个技术的大协同,是名副其实的世界互联网技术的超级工程。
1188 0