2021年 Akamai連續(xù)五年榮獲Gartner WAAP象限領導者

“一騎絕塵”領跑WAAP，Akamai連續(xù)五年在Web應用程序和API保護領域獲得殊榮，于2021年成功衛(wèi)冕Gartner WAAP象限領導者地位！

一些用戶可能好奇，以前評比的是WAF，今年怎么改成評比WAAP了？這里簡單展開說一下。

WAAP到底是什么？

WAAP是Gartner各類評選中的一個新分類，我們完全可以將WAAP看作是WAF的一次進化與革新。

從今年開始，Web應用防護和API防護被單獨放在一個新的分類：Web Application and API protection中。簡單來說，WAAP解決方案主要針對四個領域（可以想象成四個功能模塊）：Web應用、API、爬蟲，以及應用層DDoS。以往這些可能分別要用不同產(chǎn)品和服務獲得保護，但通過統(tǒng)一的WAAP解決方案，即可由一個產(chǎn)品或服務提供統(tǒng)一的整體防護，并由一個廠商為解決方案提供支持。

那么又為什么要這樣做？

隨著越來越多企業(yè)開始數(shù)字化轉型，基于API的新式應用開始日漸普及，而很多企業(yè)以往忽略了API安全，認為API相對并不那么容易被攻擊。但實際上，攻擊手段通常來說都是領先于防護手段的，因而API的安全防護值得所有企業(yè)提高重視。Gartner的這個全新分類，也是希望能盡可能提高業(yè)內(nèi)廠商和用戶企業(yè)的重視程度。

Gatner WAAP魔力象限比了些什么？

根據(jù)Gartner的預測，目前企業(yè)對于高級Web API防護、Web應用安全防護、爬蟲攻擊緩解產(chǎn)品和解決方案的使用比例僅為10%，但到2026年將快速增長至40%。此外，實施了多云戰(zhàn)略的企業(yè)和組織中，將有70%更傾向于使用服務類WAAP，而非設備類WAAP產(chǎn)品或IaaS上的虛擬化產(chǎn)品。

因而WAAP主要會以云服務（WAAP服務）的形式交付，這也使得此類服務在DDoS防護方面可以獲得與生俱來的天然優(yōu)勢。

本次Gartner的WAAP魔力象限評比主要考慮了部署在Web應用程序外部或與其并行部署，未直接與Web服務器相集成的WAAP服務，主要類型包括：

圍繞參與本次評比的十多款解決方案，對其為Web應用和API提供保護的能力進行測試評比后，Akamai在總共四個用例中有三個用例獲得了最高分（滿分均為5分），包括：API安全性和DevOps（3.6分）、高級安全性（3.76分）以及Web規(guī)模業(yè)務應用程序（3.91分）。

除了Gartner這樣的專業(yè)評測機構，很多用戶也對Akamai WAAP解決方案給出了極高的評價。同樣是在Gartner之前進行的Peer Insights采訪中，一家服務業(yè)機構的技術領導人在評價Akamai Kona Site Defender時說到：“該軟件可以通過豐富的功能保護企業(yè)和組織的相關資源免受DDoS攻擊和各種網(wǎng)絡威脅。在應對威脅的同時，它能提供極高的準確度，可以非常準確地保護網(wǎng)站以及包括移動設備在內(nèi)的各類設備，并能有效阻止可能危及業(yè)務安全性的各類而已軟件和廣告內(nèi)容?！?/p>

Akamai WAAP解決方案的優(yōu)勢所在

目前Akamai主要提供兩款WAAP解決方案：Kona Site Defender（KSD）和Web Application Protector（WAP）。其中KSD功能最為全面，而WAP功能更專注，價格更實惠，管理也更簡單。

這些產(chǎn)品會通過定期更新不斷完善，例如最新的更新就提供了這些功能：改進的上手向導，通過Adaptive Security Engine（ASE）取代Kona Rule Set（KRS）和Automated Attack Groups（AAG），提供免費層級的Page Integrity Manager客戶端保護服務，增強的爬蟲檢測和阻止能力，以及一個主要針對Bot Manager Premier的全新專用托管服務……

而豐富的功能與特性，使得Akamai WAAP產(chǎn)品在下列方面具備顯著優(yōu)勢：

能力：Akamai提供的API安全防護功能比大多數(shù)競品更成熟，例如針對API的調(diào)用進行異常行為檢測的能力。其產(chǎn)品組合甚至包含API網(wǎng)關，使其能與其他API安全功能進行更緊密的集成。

產(chǎn)品交付：Akamai非常樂于通過革新自家產(chǎn)品提供更完善的功能。例如最近通過ASE取代了旗下產(chǎn)品中原本使用的KRS和AAG，借此只需要一個引擎即可減少人為錯誤，改善應用程序和API安全性的自動化程度。

地理覆蓋策略：Akamai還在持續(xù)擴大自己服務的全球覆蓋面，在全球很多地區(qū)，其接入點（POP）的數(shù)量已遠遠領先競爭對手。Akamai的所有POP均自行管理，完全無需依賴其他IaaS服務商。

客戶體驗：廣大客戶對Akamai的服務和支持體驗，以及自己通過Akamai技術支持和托管服務獲得的經(jīng)驗與協(xié)助給出了極高評價。

后續(xù)建議

結合Gartner的評比結果和Akamai多年來在WAF和WAAP解決方案領域所積累的經(jīng)驗，我們認為，現(xiàn)階段在WAAP選型和評估過程中，用戶有必要注意這些問題：

-不斷進化的Web標準和復雜的軟件和服務架構加重了WAF設備解決方案相關的技術負擔，導致創(chuàng)新受限，并提高了WAF設備的部署復雜度。

-除了少數(shù)例外情況，WAF技術已經(jīng)無法兌現(xiàn)自動實施有效安全模型的承諾。應用程序項目的實施周期持續(xù)變短，這也進一步妨礙了安全團隊實施并調(diào)優(yōu)WAF設備的能力。

-Gartner對客戶采訪發(fā)現(xiàn)，用戶對云端WAF服務防范DDoS攻擊、阻止惡意爬蟲以及保護API等能力往往有著更高的期望。

-隨著提供商加大產(chǎn)品投入，會有更多云端WAF服務逐漸演化為云端WAAP服務。而API的激增（包括將API以Web應用程序的形式交付，例如單頁應用程序）是其中的一個關鍵性推動因素。

當今消費者對企業(yè)的安全性、可用性和品牌信任度可能比以往任何時候都更脆弱。一旦發(fā)生數(shù)據(jù)泄露，甚至可能會讓內(nèi)部員工也失去對企業(yè)運營、供應鏈和數(shù)據(jù)完整性的信任。為了建立和維系信任，企業(yè)必須實現(xiàn)高標準的安全防護，從而緩解最新威脅給業(yè)務和運營帶來的風險。

希望大家都能選擇出符合自己要求的WAAP服務。