什么是 Web App and API Protection?
Web App and API Protection (WAAP) 是指一组集成的安全服务,这些服务相互配合,降低 API 和 Web 应用带来的安全风险。
WAAP 解决方案可防范来自漏洞利用、Bot、自动攻击、拒绝服务、欺诈和滥用以及不安全的第三方 API 集成带来的应用安全风险。
集成的安全控制使组织能够通过可行洞察来提高可见性,这些洞察可以阻止特定攻击,并识别跨越多个威胁向量的协同威胁活动。
通过卓越且安全的数字体验吸引客户是企业的当务之急,也是安全和风险领导者关注的重点。在现代数字经济中,平衡安全性和可用性的风险与回报计算变得空前困难、重要,也可能带来收益。
前所未有的选择、客户对摩擦或故障的低容忍度以及不断增加的监管影响,正在将对安全的理解从成本中心转变为具有竞争力的数字差异化因素。此外,应用朝向去中心化和分布式的发展日益明显,同时也跨异构和多云架构部署,并集成在复杂的软件供应链和 CI/CD 管道中。
图1:应用的去中心化和分布式趋势日益明显
Bot 和自动攻击的日益复杂化,移动应用使用量的增加和现代应用开发带来的 API 端点的激增,极大地扩展了威胁面,并引入了来自第三方集成的不可预见的风险。
工业化攻击的生命周期始于自动化,终于帐户接管和欺诈。
图 2:应用攻击持久且复杂
WAAP 解决方案代表 WAF 市场向相邻领域的演变,特别是 Bot 管理、API 安全性和 DDoS 缓解。
与基于云的 DDoS 清理中心集成的 WAF 以前都被称为 WAAP,无论其是数据中心、私有云还是公有云中的硬件或虚拟设备。然而,市场正处于一个转折点,许多组织将更喜欢以即服务安全形式存在的基于云的 WAAP 平台。
有几个驱动因素正在增加对基于云的 WAAP 平台的好感度:
- 需要专门的 Bot 管理技术来阻止欺诈和滥用
- API 发现和实施控制,可降低第三方集成所带来的风险
- 通过 API、开发框架和 CI/CD 管道进行持续的策略维护
- 使用人工驱动 AI 的自动保护和误报修正
在银行和金融服务 (BFSI) 等受高度监管的行业中,与基于云的安全服务集成的基于设备的 WAF 将继续成为可行、甚至是首要选择。
WAAP 解决方案通过集成各种安全控制措施来保护应用,从而降低系统入侵、数据泄露、帐户接管和应用停机的风险,包括:
- Web 应用防火墙 (WAF)
- Bot Management
- API 安全
- DDoS Mitigation
WAAP 解决方案有多种形式:
- 与基于云的安全服务集成的物理/虚拟 WAF 设备
- 与基于云的安全服务集成的、基于微服务的 WAF 实例
- 基于云的 WAAP 平台,集成了 WAF、Bot、API 和 DDoS 安全控制
WAAP 解决方案还包括用于检测恶意脚本/侧录(如 Magecart 攻击)的客户端安全防护、用于防止通过恶意聚合器进行攻击的安全控制,以及用于防止人为欺诈导致的帐户接管的帐户保护。
Application Infrastructure Protection (AIP) 解决方案通过动态漏洞发现和云工作负载安全进一步加强应用安全,提升了修复措施,并通过与 WAAP 控制集成来防止底层基础架构被利用和滥用。
F5 Distributed Cloud WAAP 以原生方式适配任何架构、云和操作模型,为安全和风险团队提供通用可见性和一致的策略实施,以保护从核心到云再到边缘的传统和现代应用。Distributed Cloud WAAP 解决方案在部署模型和操作模型方面提供了灵活性和选择。
出色的可观察性,再加上庞大的真实数据湖和机器学习算法,使 F5 客户能够采用基于 AI 的增值服务 (VAS),例如身份验证智能通过改进个性化和消除摩擦来优化合法的客户交易,从而提高保留率、转化率和忠诚度。
图 3:F5 Distributed Cloud Web App and API Protection 平台
