Gartner 在 2022 年度 Gartner® Web 应用程序和 API 保护 (WAAP) 魔力象限™报告中评估了 11 家供应商的“执行能力”和“愿景完整性”,并将 Cloudflare 评为“领导者”。您可以在此处注册,免费获得一份最新的 Gartner WAAP 报告。
我们认为,这一成就突显了我们在这一领域持续做出的努力和投入,我们致力于为用户和客户提供更优秀、更有效的安全解决方案。
持续保障应用程序安全性
凭借 Cloudflare 全球网络每秒处理 3600 多万次 HTTP 请求,我们对网络模式和攻击手段有前所未有的清晰了解。利用这种大规模处理,我们可以有效区分干净流量与恶意流量,从而让 WAAP 产品组合能够在边缘缓解 Cloudflare 代理的十分之一 HTTP 请求的潜在风险。
仅仅了解情况是不够的,随着新的用例和模式不断涌现,我们继续投入研究和新产品开发。例如,API 流量日益增长(在总流量中的占比超过 55%),我们预计这一趋势并不会减缓。为帮助客户处理这些新的工作负载,Cloudflare API Gateway充分利用 Cloudflare WAF,改善了针对结构良好的 API 流量的监测和缓解措施。与标准 Web 应用程序相比,我们观察到了不同的攻击模式。
Cloudflare 认为,公司对应用程序安全性的持续投入,让我们在这一领域占有一席之地,同时我们也要感谢 Gartner 的认可。
Cloudflare WAAP
Cloudflare 在 Web 应用程序和 API 保护 (WAAP) 大类下构建了多项功能。
DDoS 保护和缓解
我们的网络覆盖了 100 多个国家/地区的超过 275 个城市,是我们平台的主干,也是支持我们缓解任何规模的 DDoS 攻击的核心组件。
为帮助实现这一点,我们的网络有意采用了任播模式,并从所有位置广播相同的 IP 地址,这样我们就能将传入流量“拆分”为每个位置都可以轻松处理的易于管理的块,这一点在缓解大量分布式拒绝服务 (DDoS) 攻击时尤其重要。
将系统设计为几乎或完全不需要配置同时能够“永远在线”,确保攻击立即得到缓解。此外,我们还配有一些非常智能的软件,例如新的位置感知缓解,这样 DDoS 攻击便可轻松得到解决。
如果客户采用非常明确的流量模式,一键即可完全配置我们的 DDoS 托管规则。
Web 应用程序防火墙
我们的 WAF 是我们的应用程序安全性的核心组件,可确保黑客和漏洞扫描程序难以找到 Web 应用程序中的潜在漏洞。
当零日漏洞变得公开可用后,这一点非常重要,因为我们已经看到恶意行为者试图在新的漏洞公开后数小时内利用它们。Log4J 和最新公开的 Confluence CVE 只是我们观察到的此类恶意行为的两个示例。这正是 Cloudflare WAF 也得到安全专家团队支持的原因,他们持续监测和开发/改进签名,确保为客户“赢得”宝贵的时间,在必要时强化并修补其后端系统。此外,作为签名的补充,Cloudflare WAF 机器学习系统会对每个请求进行分类,提供更广阔视角的流量模式。
我们的 WAF 具备许多高级功能,例如泄露凭据检查、高级分析以及警报和有效负载日志记录。
Bot管理
众所周知,Web 流量的很大一部分是自动流量,虽然并非所有自动流量都是恶意的,但有一些流量是不必要的,还可能是恶意的。
Cloudflare 机器人管理产品与 Cloudflare WAF 并行工作,对每个请求进行评分,并评估请求由机器人生成的可能性,让您可以通过部署 WAF 自定义规则来轻松过滤有害流量,这一切由强大的分析功能提供支持。我们还维护了经过验证的机器人列表,您可以利用此列表进一步改进安全策略,从而简化工作。
如果您想阻止自动流量,则可借助 Cloudflare 的托管质询确保只会将机器人拒之门外,而不会影响真实用户的体验。
API GATEWAY
根据定义,相对于浏览器使用的标准网页而言,API 流量的结构非常良好。而且,API 往往更接近抽象的后端数据库和服务,导致其更容易引起恶意行为者的注意,但却常常被内部安全团队忽视(影子 API)。
API 网关可以叠加在我们的 WAF 之上,帮助您发现基础设施提供的 API 端点以及检测流量流中可能表明存在破坏情况的潜在异常,包括容量和连续角度。
由于 API 的性质,API 网关也能够更轻松地提供不同于我们的 WAF 的积极安全模型:仅允许已知善意流量,而阻止其他一切内容。客户可以利用模式保护和相互 TLS 身份验证 (mTLS) 轻松实现这一点。
Page Shield
直接利用浏览器环境的攻击可能在一段时间内都不会被察觉,因为它们并不一定会破坏后端应用程序。例如,如果 Web 应用程序使用的任何第三方 JavaScript 库在实施恶意行为,很可能信用卡详情也在泄露给攻击者控制的第三方端点,而应用程序管理员和用户却毫不知情。这是 Magecart 的常见攻击手段,Magecart 是许多客户端安全性攻击中的一种。
Page Shield 解决客户端安全性问题的方法是积极监控第三方库,每当有第三方资产表现出恶意活动时都提醒应用程序所有者。它利用内容安全策略 (CSP) 等公开标准以及自定义分类器来保障覆盖范围。
Page Shield 就像我们的其他 WAAP 产品一样,完全集成在 Cloudflare 平台上,只需一键即可打开。
安全中心
Cloudflare 的新安全中心是 WAAP 产品组合的大本营。安全专业人士从这一个地方就可以广泛了解 Cloudflare 所保护的网络和基础设施资产。
接下来,我们计划让安全中心成为取证和分析的起始点,让您能够在调查事件的同时利用 Cloudflare 威胁情报。
Cloudflare 的优势
Cloudflare WAAP 产品组合是从单一水平平台交付,让您无需额外部署即可利用所有安全功能。此外,扩展、维护和更新均完全由 Cloudflare 管理,让您可以专注于利用应用程序创造商业价值。
这甚至适用于 WAAP 之外的领域,因为尽管 Cloudflare 起初是为 Web 应用程序构建产品和服务,但凭借 Cloudflare 全球网络,我们能够保护连接到互联网的任何内容,包括团队、办公室以及面向企业内部的应用程序。这一切都在同一个单一平台完成。Cloudflare Zero Trust 产品组合现已成为我们业务不可或缺的一部分,并且 WAAP 客户只需单击几下即可开始利用安全访问服务边缘 (SASE)。
如果您想从管理和预算的角度巩固安全态势,应用程序服务团队可以使用内部 IT 服务团队所用的同一平台,保护员工和内部网络安全。
持续创新
我们打造 Cloudflare WAAP 产品组合的历程并非一蹴而就,而且仅在过去一年,我们已经发布了超过五个 WAAP 产品组合安全产品主版本。为了展示 Cloudflare 的创新速度,请查看以下热门精选:
- API Shield 模式保护:基于签名的传统 WAF 方法(消极安全模型)并非总是能够很好地适用于结构良好的数据,例如 API 流量。鉴于网络中的 API 流量迅猛增长,我们打造了新的增量产品,让您可以使用积极安全模型在边缘直接实施 API 架构,也就是只让结构良好的数据流入源 Web 服务器;
- API 滥用检测:作为 API 模式保护的补充,API 滥用检测每次在您的 API 端点上检测到异常时都会向您发出警告。这些警告可以由不寻常的流量流或不遵循正常流量活动的模式触发;
- 全新 Cloudflare Web 应用程序防火墙:核心 Web 应用程序防火墙以新的边缘规则引擎为基础而构建,我们对其进行了彻底改造,从引擎内部机制到用户界面均包括在内。因此,提升了性能,包括延迟情况以及阻止恶意有效负载的效果。我们还提供了多项崭新的功能,包括但不限于暴露凭据检查、帐户范围配置,以及有效负载日志记录;
- DDoS 可自定义托管规则:为了提供额外的配置灵活性,我们开始公开我们的一些内部 DDoS 缓解托管规则,用于自定义配置,进一步减少误报,并允许客户根据需要提高阈值/检测频率;
- 安全中心:Cloudflare 关于基础设施和网络资产的视图,以及针对错误配置和潜在安全问题的警报和通知;
- Page Shield:基于不断增长的客户需求以及聚焦最终用户浏览器环境的层出不穷的攻击手段,Page Shield 可帮助您检测恶意 JavaScript 何时可能侵入您的应用程序的代码;
- API 网关:完全 API 管理(包括直接从 Cloudflare 边缘路由),其中集 API 安全性于一体,包括加密和相互 TLS 身份验证 (mTLS);
- 机器学习 WAF:作为 Cloudflare WAF 托管规则集的补充,新的机器学习 WAF 引擎会对每个请求进行评分,分值从 1(干净)到 99(恶意)不等,让您可以更清晰地了解有效和无效的恶意有效负载,提高我们检测针对您应用程序的攻击和扫描的能力;
展望未来
我们的路线图包含新的应用程序安全功能,以及对现有系统的改进。随着我们不断加深对互联网的认识,我们一直在提高保护应用程序安全的能力。请持续关注我们,了解更多详细信息。
Gartner, “Web 应用和 API 保护魔力象限”,分析师:Jeremy D'Hoinne、Rajpreet Kaur、 John Watts、Adam Hils, 2022 年 8 月 30 日。
Gartner 和 Magic Quadrant 均为 Gartner, Inc. 和/或附属公司在美国和国际的注册商标,在此经许可使用。保留一切权利。
Gartner 不支持其研究出版物中提及的任何供应商、产品或服务,也不建议技术用户只选择那些获得最高评分或其他称号的供应商。
Gartner 研究出版物包含的是 Gartner 研究组织的意见,不应被视为事实陈述。Gartner 对本研究不承担任何明示或暗示担保,包括任何针对特定用途的适销性或适用性的担保。