2021年 Akamai連續(xù)五年榮獲Gartner WAAP象限領(lǐng)導(dǎo)者

“一騎絕塵”領(lǐng)跑WAAP，Akamai連續(xù)五年在Web應(yīng)用程序和API保護(hù)領(lǐng)域獲得殊榮，于2021年成功衛(wèi)冕Gartner WAAP象限領(lǐng)導(dǎo)者地位！

一些用戶可能好奇，以前評比的是WAF，今年怎么改成評比WAAP了？這里簡單展開說一下。

WAAP到底是什么？

WAAP是Gartner各類評選中的一個(gè)新分類，我們完全可以將WAAP看作是WAF的一次進(jìn)化與革新。

從今年開始，Web應(yīng)用防護(hù)和API防護(hù)被單獨(dú)放在一個(gè)新的分類：Web Application and API protection中。簡單來說，WAAP解決方案主要針對四個(gè)領(lǐng)域（可以想象成四個(gè)功能模塊）：Web應(yīng)用、API、爬蟲，以及應(yīng)用層DDoS。以往這些可能分別要用不同產(chǎn)品和服務(wù)獲得保護(hù)，但通過統(tǒng)一的WAAP解決方案，即可由一個(gè)產(chǎn)品或服務(wù)提供統(tǒng)一的整體防護(hù)，并由一個(gè)廠商為解決方案提供支持。

那么又為什么要這樣做？

隨著越來越多企業(yè)開始數(shù)字化轉(zhuǎn)型，基于API的新式應(yīng)用開始日漸普及，而很多企業(yè)以往忽略了API安全，認(rèn)為API相對并不那么容易被攻擊。但實(shí)際上，攻擊手段通常來說都是領(lǐng)先于防護(hù)手段的，因而API的安全防護(hù)值得所有企業(yè)提高重視。Gartner的這個(gè)全新分類，也是希望能盡可能提高業(yè)內(nèi)廠商和用戶企業(yè)的重視程度。

Gatner WAAP魔力象限比了些什么？

根據(jù)Gartner的預(yù)測，目前企業(yè)對于高級Web API防護(hù)、Web應(yīng)用安全防護(hù)、爬蟲攻擊緩解產(chǎn)品和解決方案的使用比例僅為10%，但到2026年將快速增長至40%。此外，實(shí)施了多云戰(zhàn)略的企業(yè)和組織中，將有70%更傾向于使用服務(wù)類WAAP，而非設(shè)備類WAAP產(chǎn)品或IaaS上的虛擬化產(chǎn)品。

因而WAAP主要會以云服務(wù)（WAAP服務(wù)）的形式交付，這也使得此類服務(wù)在DDoS防護(hù)方面可以獲得與生俱來的天然優(yōu)勢。

本次Gartner的WAAP魔力象限評比主要考慮了部署在Web應(yīng)用程序外部或與其并行部署，未直接與Web服務(wù)器相集成的WAAP服務(wù)，主要類型包括：

圍繞參與本次評比的十多款解決方案，對其為Web應(yīng)用和API提供保護(hù)的能力進(jìn)行測試評比后，Akamai在總共四個(gè)用例中有三個(gè)用例獲得了最高分（滿分均為5分），包括：API安全性和DevOps（3.6分）、高級安全性（3.76分）以及Web規(guī)模業(yè)務(wù)應(yīng)用程序（3.91分）。

除了Gartner這樣的專業(yè)評測機(jī)構(gòu)，很多用戶也對Akamai WAAP解決方案給出了極高的評價(jià)。同樣是在Gartner之前進(jìn)行的Peer Insights采訪中，一家服務(wù)業(yè)機(jī)構(gòu)的技術(shù)領(lǐng)導(dǎo)人在評價(jià)Akamai Kona Site Defender時(shí)說到：“該軟件可以通過豐富的功能保護(hù)企業(yè)和組織的相關(guān)資源免受DDoS攻擊和各種網(wǎng)絡(luò)威脅。在應(yīng)對威脅的同時(shí)，它能提供極高的準(zhǔn)確度，可以非常準(zhǔn)確地保護(hù)網(wǎng)站以及包括移動設(shè)備在內(nèi)的各類設(shè)備，并能有效阻止可能危及業(yè)務(wù)安全性的各類而已軟件和廣告內(nèi)容?！?/p>

Akamai WAAP解決方案的優(yōu)勢所在

目前Akamai主要提供兩款WAAP解決方案：Kona Site Defender（KSD）和Web Application Protector（WAP）。其中KSD功能最為全面，而WAP功能更專注，價(jià)格更實(shí)惠，管理也更簡單。

這些產(chǎn)品會通過定期更新不斷完善，例如最新的更新就提供了這些功能：改進(jìn)的上手向?qū)?，通過Adaptive Security Engine（ASE）取代Kona Rule Set（KRS）和Automated Attack Groups（AAG），提供免費(fèi)層級的Page Integrity Manager客戶端保護(hù)服務(wù)，增強(qiáng)的爬蟲檢測和阻止能力，以及一個(gè)主要針對Bot Manager Premier的全新專用托管服務(wù)……

而豐富的功能與特性，使得Akamai WAAP產(chǎn)品在下列方面具備顯著優(yōu)勢：

能力：Akamai提供的API安全防護(hù)功能比大多數(shù)競品更成熟，例如針對API的調(diào)用進(jìn)行異常行為檢測的能力。其產(chǎn)品組合甚至包含API網(wǎng)關(guān)，使其能與其他API安全功能進(jìn)行更緊密的集成。

產(chǎn)品交付：Akamai非常樂于通過革新自家產(chǎn)品提供更完善的功能。例如最近通過ASE取代了旗下產(chǎn)品中原本使用的KRS和AAG，借此只需要一個(gè)引擎即可減少人為錯(cuò)誤，改善應(yīng)用程序和API安全性的自動化程度。

地理覆蓋策略：Akamai還在持續(xù)擴(kuò)大自己服務(wù)的全球覆蓋面，在全球很多地區(qū)，其接入點(diǎn)（POP）的數(shù)量已遠(yuǎn)遠(yuǎn)領(lǐng)先競爭對手。Akamai的所有POP均自行管理，完全無需依賴其他IaaS服務(wù)商。

客戶體驗(yàn)：廣大客戶對Akamai的服務(wù)和支持體驗(yàn)，以及自己通過Akamai技術(shù)支持和托管服務(wù)獲得的經(jīng)驗(yàn)與協(xié)助給出了極高評價(jià)。

后續(xù)建議

結(jié)合Gartner的評比結(jié)果和Akamai多年來在WAF和WAAP解決方案領(lǐng)域所積累的經(jīng)驗(yàn)，我們認(rèn)為，現(xiàn)階段在WAAP選型和評估過程中，用戶有必要注意這些問題：

-不斷進(jìn)化的Web標(biāo)準(zhǔn)和復(fù)雜的軟件和服務(wù)架構(gòu)加重了WAF設(shè)備解決方案相關(guān)的技術(shù)負(fù)擔(dān)，導(dǎo)致創(chuàng)新受限，并提高了WAF設(shè)備的部署復(fù)雜度。

-除了少數(shù)例外情況，WAF技術(shù)已經(jīng)無法兌現(xiàn)自動實(shí)施有效安全模型的承諾。應(yīng)用程序項(xiàng)目的實(shí)施周期持續(xù)變短，這也進(jìn)一步妨礙了安全團(tuán)隊(duì)實(shí)施并調(diào)優(yōu)WAF設(shè)備的能力。

-Gartner對客戶采訪發(fā)現(xiàn)，用戶對云端WAF服務(wù)防范DDoS攻擊、阻止惡意爬蟲以及保護(hù)API等能力往往有著更高的期望。

-隨著提供商加大產(chǎn)品投入，會有更多云端WAF服務(wù)逐漸演化為云端WAAP服務(wù)。而API的激增（包括將API以Web應(yīng)用程序的形式交付，例如單頁應(yīng)用程序）是其中的一個(gè)關(guān)鍵性推動因素。

當(dāng)今消費(fèi)者對企業(yè)的安全性、可用性和品牌信任度可能比以往任何時(shí)候都更脆弱。一旦發(fā)生數(shù)據(jù)泄露，甚至可能會讓內(nèi)部員工也失去對企業(yè)運(yùn)營、供應(yīng)鏈和數(shù)據(jù)完整性的信任。為了建立和維系信任，企業(yè)必須實(shí)現(xiàn)高標(biāo)準(zhǔn)的安全防護(hù)，從而緩解最新威脅給業(yè)務(wù)和運(yùn)營帶來的風(fēng)險(xiǎn)。

希望大家都能選擇出符合自己要求的WAAP服務(wù)。