WAF 是Web Application Firewall (Web应用防火墙/网站应用防火墙)的缩写,这个可能大家都知道了。那 WAAP 又是什么?这是Gartner在2021年9月发布的WAF魔力象限报告提出的新词,报告说这是WAF的升级产品,是Web Application and API Protection (Web应用和API保护)的缩写,在WAF功能基础上增加DDoS攻击防护、爬虫管理和API防护。
让我们先看看Gartner的2021年报告预测数据吧:
- 到 2024 年,也就是2年后,70% 的组织为Web 应用实施多云战略,他们将青睐云WAAP服务,而不是 WAAP 设备或 IaaS原生 WAAP。IaaS, 基础设施既服务,意思是出租WAAP设备服务。这个数据说明70%用户会选择云WAF服务,而不是买WAF设备或租WAF设备。
- 到 2026 年,40%的组织将基于API 保护及Web应用安全防护的需要来选择WAAP服务提供商,而目前这一比例还不到10%。这个数据说明云WAF市场还没有起来,但发展势头还是非常好的。
- 到2026 年,超过 40% 的有面向消费者的应用程序的组织将从WAAP专业提供商那里寻求额外的爬虫威胁支持,而目前这一比例不到10% 。这个数据说明越来越多的大数据收集爬虫已经成为网站的一大安全威胁,需要WAF服务的防护支持,这个功能阿里云WAF也已经提供,如下图为官网的阿里云WAF爬虫防护统计图,可以看出实际阻断的数量还是很少的,证明了现在还不是主要威胁。
笔者引用这些预测数据的目的是希望大家能充分认识到云 WAF 对保护网站安全的重要及其发展趋势。零信技术今天推出的第一云服务产品--网站安全云服务是一个集成 https 加密、云WAF 防护和网站可信认证于一体的网站安全解决方案。而云 WAF 防护当然需要基于市场上的成熟产品来集成,我们在云WAF选型时当然是测试了多家云WAF服务提供商的产品,其中阿里云WAF官网介绍“阿里云WAF是国内唯一获得Web应用防火墙大满贯(Gartner、Forrester、IDC、Frost & Sullivan)的产品”,笔者为此还特意搜索了Gartner的WAF魔力象限报告,的确如同阿里云官网宣传-“阿里云入选Gartner 2019 WAF魔力象限,唯一亚太厂商”。笔者查到了原报告的魔力象限图,如下图所示红线名称Alibaba Cloud (阿里云),大家不要介意 “小众玩家(Niche Players)”这个定义,阿里云WAF在中国可不是所谓的“小众玩家”,Gartner把阿里云WAF归到这个类别一点都不奇怪,因为Gartner不是中国公司。
我们测试了阿里云WAF、华为云WAF、腾讯云WAF和京东云 WAF,并计划测试微软云WAF和亚马逊云WAF,从简单易用来看,国产云WAF服务完胜国外云WAF服务,后两家巨头的云WAF服务也提供了免费测试,但是由于不知道如何下手而放弃,不像国内厂商基本上都是一键搞定。
我们重点测试了阿里云WAF,从证签官网上线两个多个月的实际防护效果来看,作为一个用户还是很满意起防护效果的。其实,Gartner的2021年报告把WAF改叫为WAAP中增加的3个防护功能阿里云WAF也都提供,大家看看阿里云WAF官网上的功能介绍就能看到,也许是阿里云考虑到用户都已经熟悉了WAF这个产品名称,并没有跟着叫WAAP这个新词。下图为证签官网阿里云 WAF 爬虫防护统计图,可以看出实际阻断的数量还是很少的,证明了现在还不是主要威胁。
总之,我们可以从Gartner预测数据可以看出,云WAF服务已经会成为网站安全防护的首选和必选,零信网站安全云服务基于阿里云WAF服务不仅实现了全自动https加密和WAF防护,而且让云WAF服务价格平民化,使得所有网站都用得起云WAF服务,一定会加速云WAF服务的普及应用。所以,我的预测更加乐观,预计到2024年将普及应用云WAF服务。
