Gartner 在 2022 年《Gartner® Web 應用程式和 API 保護 (WAAP) Magic Quadrant™》報告中將 Cloudflare 評為「領導者」,該報告對 11 個廠商的「執行能力」及「願景完整性」進行了評估。您可以在此處註冊以獲取最新 Gartner WAAP 報告的免費複本。
我們相信,這項成就凸顯了我們在這個領域的持續投入,同時我們也致力於為使用者和客戶提供更優質且更有效的網路安全解決方案。
保持應用程式安全性
Cloudflare 全球網路每秒處理超過 3600 萬個 HTTP 請求,因此,我們對網路模式和攻擊媒介可獲得前所未有的可見度。這種規模讓我們能夠有效地區分潔淨流量與惡意流量,使 Cloudflare 代理的約十分之一的請求被我們的 WAAP 產品組合在邊緣緩解。
可見度並不足夠,隨著新使用案例和模式的出現,我們投資於研究和新產品開發。例如,API 流量正在增加(佔總流量的 55% 以上),我們預計這一趨勢不會放緩。為了幫助客戶處理這些新的工作負載,我們的 API 閘道以我們的 WAF 為基礎,為結構良好的 API 流量提供更好的可見度和緩解措施,我們已經觀察到與基於 Web 的標準應用程式不同的攻擊模式。
我們相信,是我們在應用程式安全方面的持續投資幫助我們在這個領域獲得了地位,我們要感謝 Gartner 的認可。
Cloudflare WAAP
Cloudflare 建置了多項屬於 Web 應用程式和 API 保護 (WAAP) 範疇的功能。
DDoS 防護與緩解
我們的網路遍佈 100 多個國家/地區的超過 275 座城市,是我們平台的支柱,也是使我們能夠緩解任何規模的 DDoS 攻擊的核心元件。
為了解決這個問題,我們的網路有意進行 anycast 並從所有位置通告相同的 IP 位址,使我們能夠將傳入流量「分割」為每個位置都可以輕鬆處理的可管理區塊,這在緩解大流量分散式阻斷服務 (DDoS) 攻擊時尤為重要。
該系統的設計要求幾乎不需要設定,同時還「永遠開啟」,確保立即緩解攻擊。再加上一些非常智慧的軟體(例如我們新的位置感知緩解措施),DDoS 攻擊成為一個可解決的問題。
對於具有非常獨特流量模式的客戶,只需按一下即可完全設定我們的 DDoS 受管理規則。
Web 應用程式防火牆
我們的 WAF 是我們應用程式安全的核心元件,可確保駭客和漏洞掃描器很難找到 Web 應用程式中的潛在漏洞。
當 zero-day 漏洞公開可用時,這一點非常重要,因為我們已經看到不良行為者試圖在新媒介公開後數小時內利用它們。Log4J 和最近的 Confluence CVE,只是我們觀察到此類行為的其中兩個範例。這就是為什麼我們的 WAF 也得到了安全專家團隊的支援,他們持續監控和開發/改進簽章,確保我們為客戶「爭取」寶貴的時間,以便在必要時加強和修補他們的後端系統。此外,作為對簽章的補充,我們的 WAF 機器學習系統對每個請求進行分類,提供更廣闊的流量模式檢視。
我們的 WAF 包含許多進階功能,例如洩露認證檢查、進階分析和警示以及承載記錄。
機器人管理
眾所周知,很大一部分 Web 流量是自動化的,雖然並非所有的自動化流量都是不好的,但其中有一些並無必要,而且也有可能是惡意的。
我們的傀儡程式管理產品與我們的 WAF 同時工作,並對請求進行評分,得出其由機器人產生的可能性,讓您可以透過部署 WAF 自訂規則輕鬆篩選不需要的流量,所有這些都由強大的分析提供支援。我們還維護了一份經驗證機器人的清單,可用於進一步改進安全原則,從而簡化整個過程。
如果您想要封鎖自動化流量,Cloudflare 的受管理挑戰可確保只有機器人會經歷考驗,而不會影響真實使用者的體驗。
API 閘道
根據定義,相對於瀏覽器使用的標準網頁,API 流量的結構非常良好。同時,API 往往更接近後端資料庫和服務的抽象,讓惡意行為者對其增加了關注,但通常被內部安全團隊忽視(影子 API)。
API 閘道可位於我們的 WAF 之上,可幫助您探索基礎結構所服務的 API 端點,並從流量和順序角度偵測可能表明存在危害的流量中的潛在異常。
API 的性質還允許 API 閘道更輕鬆地提供與我們的 WAF 相反的積極安全模型:只允許已知良好流量通過並封鎖其他一切內容。客戶可以利用架構保護和 mutual TLS 驗證 (mTLS) 輕鬆實現這一目標。
Page Shield
直接利用瀏覽器環境的攻擊可能在一段時間內被忽視,因為它們不一定需要破壞後端應用程式。例如,如果 Web 應用程式使用的任何第三方 JavaScript 庫正在執行惡意行為,那麼當信用卡詳細資料被洩露到由攻擊者控制的第三方端點時,應用程式管理員和使用者可能毫無察覺。這是 Magecart 的常見媒介,Magecart 是許多用戶端安全攻擊中的一種。
Page Shield 透過提供對第三方庫的主動監控並在第三方資產出現惡意活動時提醒應用程式擁有者來解決用戶端安全問題。它利用內容安全原則 (CSP) 等公用標準以及自訂分類器來確保覆蓋範圍。
與我們的其他 WAAP 產品一樣,Page Shield 在 Cloudflare 平台上完全整合,只需按一下即可開啟。
網路安全中心
Cloudflare 的新安全中心是 WAAP 產品組合的所在地。安全專業人員可以在一個地方全面瞭解受 Cloudflare 保護的網路和基礎結構資產。
展望未來,我們計劃將安全中心作為取證和分析的起點,讓您在調查事件時也可以利用 Cloudflare 威脅情報。
Cloudflare 的優勢
我們的 WAAP 產品組合從單一水平平台交付,讓您無需額外部署即可利用所有安全功能。此外,擴展、維護和更新完全由 Cloudflare 進行管理,讓您可以專注於為您的應用程式提供商業價值。
這甚至適用於 WAAP,因為儘管我們已開始為 Web 應用程式建置產品和服務,但我們在網路中的地位使我們能夠保護連接到網際網路的任何內容,包括團隊、辦公室和面向內部的應用程式。這全部在同一個平台進行。我們的 Zero Trust 產品組合現已成為我們業務不可或缺的一部分,WAAP 客戶只需點擊幾下即可開始利用我們的安全存取服務邊緣 (SASE)。
如果您希望從管理和預算的角度加強您的安全狀態,應用程式服務團隊可以使用與內部 IT 服務團隊相同的平台來保護員工和內部網路。
持續創新
我們並非在一夜之間構建了 WAAP 產品組合,僅在過去的一年裡,我們就發布了超過五個主要的 WAAP 產品組合安全產品版本。為了展示我們的創新速度,以下是我們的精選產品:
API Shield 架構保護:基於傳統簽章的 WAF 方法(消極安全模型)並非始終適用於結構良好的資料(例如 API 流量)。鑑於網路中 API 流量的快速增長,我們建置了一個新的增量產品,讓您能夠使用積極安全模型直接在邊緣實施 API 架構:只讓格式良好的資料通過您的來源 Web 伺服器;
API 濫用偵測:作為 API 架構保護的補充,API 濫用偵測會在您的 API 端點上偵測到異常時向您發出警告。這些可能由不符合正常流量活動的異常流量流或模式觸發;
我們新的 Web 應用程式防火牆:核心 Web 應用程式防火牆構建在我們新的邊緣規則引擎之上,從引擎內部到 UI 都進行了徹底的改造。在封鎖惡意負載的延遲和效率方面表現更好,還擁有全新的功能,包括但不限於已暴露認證檢查、帳戶範圍設定和承載記錄;
DDoS 可自訂受管理規則:為了提供額外的設定靈活性,我們開始公開一些用於自訂設定的內部 DDoS 緩解受管理規則,以進一步減少誤判並允許客戶根據需要增加閾值/偵測;
安全中心:Cloudflare 對基礎結構和網路資產的檢視,以及針對錯誤設定和潛在安全問題的警示和通知;
Page Shield:基於不斷增長的客戶需求和針對終端使用者瀏覽器環境的攻擊媒介的增加,Page Shield 可幫助您偵測惡意 JavaScript 何時進入您的應用程式代碼;
API 閘道:完整的 API 管理,包括直接從 Cloudflare 邊緣路由,擁有內建 API 安全性,包括加密和 mutual TLS 驗證 (mTLS);
機器學習 WAF:作為我們 WAF 受管理規則集的補充,我們新的 ML WAF 引擎會為每個請求打分,分值範圍從 1(潔淨)到 99(惡意),讓您更加瞭解有效和無效的惡意負載,從而提高我們偵測針對您的應用程式之攻擊與掃描的能力;
未來展望
我們的路線圖包含新的應用程式安全功能和對現有系統的改進。隨著我們對網際網路的瞭解越來越多,我們將能夠更好地保護您的應用程式的安全。更多產品即將到來,敬請期待。
Gartner 的「Web 應用程式及 API 保護 Magic Quadrant」分析師:Jeremy D'Hoinne、Rajpreet Kaur、John Watts、Adam Hils,2022 年 8 月 30 日。
Gartner 和 Magic Quadrant 均為 Gartner, Inc. 和/或附屬公司在美國和國際的注冊商標,在此經許可使用。版權所有。Gartner 不認可其研究報告中描述的任何廠商、產品或服務,也不建議技術使用者僅選擇那些評分最高或擁有其他稱號的廠商。
Gartner 研究報告由 Gartner 研究部門的觀點構成,不應被視爲事實性陳述。Gartner 否認所有與此研究相關的明示或暗示保證,包括對適銷性或適合特定用途的所有保證。