本文來自FreeBuf,作者/yannichen。
近日,知名咨詢機(jī)構(gòu)Gartner發(fā)布2022云Web應(yīng)用程序和API保護(hù)魔力象限。當(dāng)前,云Web應(yīng)用程序和API保護(hù)市場(chǎng)迅速增長。
Gartner預(yù)測(cè),到2024年,70%實(shí)施多云戰(zhàn)略的企業(yè)將青睞云Web應(yīng)用程序和API保護(hù)平臺(tái)(WAAP)服務(wù),而不是WAAP設(shè)備和IaaS原生WAAP。
到2026年,40%的企業(yè)將根據(jù)API保護(hù)和Web應(yīng)用程序安全功能選擇WAAP供應(yīng)商,與2022年不足15%的比例相比有所上升。
到2026年,超過40%的擁有C端應(yīng)用程序的企業(yè),將依靠WAAP來緩解僵尸攻擊,2022年該比例不到10%。
Web應(yīng)用程序和API保護(hù)平臺(tái)(WAAPs)主要保護(hù)面向公眾的網(wǎng)絡(luò)應(yīng)用程序和API,可以緩解大部分運(yùn)行時(shí)攻擊,尤其是開放網(wǎng)絡(luò)應(yīng)用安全項(xiàng)目(OWASP)的網(wǎng)絡(luò)應(yīng)用程序威脅、自動(dòng)化威脅和對(duì)API的專門攻擊。
WAAP供應(yīng)商與API威脅保護(hù)供應(yīng)商競(jìng)爭(zhēng)激烈,API安全正成為WAAP評(píng)估的一個(gè)關(guān)鍵部分。Gartner觀察到,今年評(píng)估的供應(yīng)商提供的API保護(hù)產(chǎn)品有明顯的改進(jìn),但集成到云計(jì)算WAAP中的API保護(hù)功能更像初始版本,缺乏深度,尤其是發(fā)現(xiàn)模塊提供的API警報(bào)和業(yè)務(wù)背景管理方面。更多的供應(yīng)商推出了差異化的API發(fā)現(xiàn)功能,例如對(duì)惡意和授權(quán)機(jī)器人進(jìn)行細(xì)粒度分類、替代傳統(tǒng)的干擾性驗(yàn)證碼服務(wù)等等。
在過去的一年里,使用ML檢測(cè)和誤報(bào)率已經(jīng)趨于平緩,沒有明顯的改善,供應(yīng)商也不再強(qiáng)調(diào),這反映了市場(chǎng)對(duì)“ML Hype”的普遍疲勞。ML對(duì)于克服大規(guī)模管理WAAP配置仍然有效,同時(shí)它提供變更工作流程管理、可靠的配置審計(jì)和變更跟蹤,以及全局設(shè)置、組設(shè)置和應(yīng)用程序設(shè)置的良好組合。然而,Gartner沒有觀察到這一領(lǐng)域有任何明顯的改進(jìn)。
2022云Web應(yīng)用程序和API保護(hù)魔力象限
【2022云Web應(yīng)用程序和API保護(hù)魔力象限】
截至2022年8月,Gartner評(píng)選出的云Web應(yīng)用程序和API保護(hù)領(lǐng)導(dǎo)者為Akamai、Cloudflare、Imperva;挑戰(zhàn)者為AWS、Fastly;利基玩家微軟、F5、Fortinet、Barracuda、ThreatX;愿景者Radware。
分布式WAAP成為WAAP市場(chǎng)的一個(gè)獨(dú)立部分
越來越多的云計(jì)算WAAP供應(yīng)商正在為更加自動(dòng)化的云計(jì)算應(yīng)用增加部署選項(xiàng),例如Kubernetes sidecars、容器化WAAP和WAAP代理。然而,這一領(lǐng)域的前景仍然不明朗。但嵌入式WAAP不能取代云交付的WAAP,以滿足每一個(gè)用例和要求,如DDoS保護(hù)或在各種環(huán)境上托管數(shù)百個(gè)應(yīng)用程序前快速部署的能力。
分布式WAAP旨在改善DevSecOps實(shí)踐,通過“左移”技術(shù)保護(hù)新開發(fā)的應(yīng)用程序,但它們并不能解決傳統(tǒng)和第三方應(yīng)用程序的“右移”需求。未來,擁有成熟的DevOps實(shí)踐的大型企業(yè)需要云網(wǎng)關(guān)WAAP和分布式WAAP組合,以實(shí)現(xiàn)DevSecOps和更好地保護(hù)現(xiàn)有應(yīng)用。
未來幾個(gè)月的愿景可能是,WAAP代理、容器和虛擬機(jī)將成為集成網(wǎng)絡(luò)和分布式WAAP的組成部分。如果分布式WAAP想實(shí)現(xiàn)大規(guī)模部署,最大的挑戰(zhàn)是集中但靈活的管理監(jiān)控。供應(yīng)商還必須確定哪些功能最適合分布式WAAP,例如對(duì)某些工作負(fù)載的針對(duì)性的保護(hù),以及哪些應(yīng)在網(wǎng)絡(luò)層面上執(zhí)行,如API發(fā)現(xiàn)和僵尸緩解。