再获认可｜绿盟科技被Gartner?WAAP市场指南报告列为代表供应商

　　近日，咨询机构Gartner发布 Market Guide for Cloud Web Application and API Protection，绿盟科技凭借其WAAP解决方案（NSFOCUS Cloud WAAP）被列为代表供应商。

　　★ WAAP正在成为下一代WAF的代名词

　　Web应用与API安全防护（WAAP）在当今数字化环境中至关重要。随着企业日益依赖Web应用和API来支持业务运营，其安全性变得尤为紧迫。WAAP不仅关注网站和应用程序的安全，还注重对数据传输、存储和处理的全方位保护。通过实施强大的防御机制，包括入侵检测、身份认证、数据加密以及漏洞管理，WAAP有效地抵御了各类网络威胁，保障了敏感信息的机密性和完整性。

　　此外，WAAP的重要性还体现在对API的防护上，因为API的漏洞可能导致未经授权的访问、数据泄露以及网络攻击。综合而言，WAAP是一项全面的安全策略，它不仅保障了企业和用户的利益，也维护了数字生态系统的整体稳定。

　　绿盟科技WAAP解决方案

　　WAAP解决方案能力介绍

　　WEB安全

　　绿盟科技WAAP方案，致力于保护Web应用免受各类漏洞攻击的侵害，提供静态规则、动态语法语义分析为一体的智慧防护模型，有效防御OWASP TOP 10，保障网站与Web应用免受已知、未知攻击。面向不同规模及复杂度的Web应用环境，提供多种集群方案，支持本地、云端统一运维管理，以用户视角，提供直观且易于操作的用户管理界面，使安全运维更加高效。支持14种云环境适配，提供虚机、容器化的软件形态，覆盖单体应用到微服务云原生场景下的全向流量检测。

　　BOT管理

　　绿盟科技WAAP方案，专注于高级自动化工具对抗，有效解决7层DDoS及各种类型的滥用攻击。针对业务侧层出不穷的爬虫、薅羊毛、漏洞扫描等自动化攻击事件，精准实现Bot流量的识别及多维度处置，减少由此带来的信息泄露及漏洞暴露风险。同时提供攻击意图研判分析，进一步帮助用户评估应用的业务风险指数，以业务资产视角进行可视化的结果展示、攻击路线记录、攻击时间概览、业务所受影响统计等，帮助客户将安全能力转变为实际业务价值。

　　API防护

　　绿盟科技WAAP方案，内置丰富的API防护规则，针对十数种不同类型的web攻击特征进行防护。且通过个性化的模板进行封装，一键应用，快速生效，可有效防护对API的注入攻击、开源框架漏洞攻击、远程命令执行攻击等。同时通过自动化工具识别技术，避免黑灰产对API的滥用，逻辑漏洞利用或者批量爆破登录接口等操作。基于准确的检测引擎，可快速阻止针对API的攻击行为和调用。避免攻击者对于API的利用。

　　云原生WAF适配云原生架构

　　绿盟科技凭借对云原生技术的探索和多年积累，WAF可适配云原生架构。不仅支持daemonset、deployment等多种部署模式，还能适配Kubernetes、Openshift和Service Mesh等多种云原生管理框架。通过统一的云原生WAF安全管控平台，对于所有的云原生WAF安全探针进行管理、安全数据分析。通过云原生WAF安全探针，不仅能捕获pod级别的web流量，不放过任何一次东西向流量会话；还能跟踪绘制应用调用访问序列，形成云原生内部的业务链路可视化。

　　集群部署可支撑大流量高稳定性web服务

　　业务的扩容、上线、云端迁移，数据中心的新建，异地多中心的管理等，伴随着用户业务场景的不断发展，对安全产品性能的升档、业务稳定性的保障等述求越来越高，绿盟科技WAAP提供多类集群部署方案，做到业务上线无需断网；灰度升级、单点割接对业务无影响；应急报障，流量快速切走，排除干扰；为Web业务提供高稳定性保障。面向本地、异地、云端的多节点部署，提供规一化管理，降低人力投入；多台设备同步扩容，防护资产、防护策略集中管控，提高运维效率；业务状态、设备状态，实时进行健康度监测，若有风险，快速发现；多维日志一键收集，多台设备同时抓包，一旦异常，留存关键信息，方便迅速排查定位。

　　WAAP与API安全

　　作为web应用的另一种表示形式，API的使用越来越多，也有越来越多的攻击专门针对API而来。2023年6月，本田动力设备的电商平台存在API漏洞，攻击者可为任何帐户重置密码。2022年7月，Twitter的一个API漏洞，导致数百万用户数据被泄露。CVE官网上，与API相关漏洞已达3000多个，逐渐形成了以API为媒介的软件供应链安全风险。各行各业由于自身业务的特点和技术的应用，也面临着不同的API安全威胁。

　　除了WAAP中包含的API安全能力外，绿盟科技还支持从扫描、审计、访问控制等不同API安全管理能力，覆盖OWASP API Security TOP10中提到的不同类型的API安全风险，实现API资产识别、敏感数据发现、异常行为分析、数据访问管控、脆弱性漏洞识别和安全事件溯源的能力。同时提供API安全分析平台，展示全生命周期的API安全与可视化，从资产画像、安全事件、威胁溯源的角度，保护企业API安全和正常运行。

　　在数字时代，WAAP显现出web应用与API经济发展的重要性。绿盟科技WAAP解决方案，通过全方位的防御措施，包括强大的网络防护、应用程序安全和数据隐私保护，确保了企业web与API应用的健康运行，预防了各类网络威胁。其对API的安全防护更是加强了对数字交互的信任，避免了潜在的数据泄露和未经授权访问。绿盟科技WAAP的优势不仅在于应对当前的威胁挑战，更在于其部署方式的灵活性与适配云原生应用架构的先进性，适应未来数字化发展的需求。

　　参考文献

　　[1] Gartner, Market Guide for Cloud Web Application and API Protection, November 2023

　　注：Gartner未在其报告中支持任何厂商、产品或服务，也并不建议科技客户只选择最高评分或其它指定的厂商。Gartner报告含有其研究组织的意见，但该研究意见不应被视作事实陈述。针对此报告，Gartner不承担相关明示或暗示的保证，包括任何适销性或适用于特定目的的保证。Gartner是Gartner有限公司和/或其附属公司在美国及全球的注册商标和服务商标，经许可在此使用，保留所有权利。