國際權威研究機構Forrester發布最新研究報告《The Web Application Firewall Solutions Landscape, Q4 2024》(以下簡稱“報告”),從市場規模、部署方式、市場區域、應用場景等多個維度,對全球30家Web應用防火墻(WAF)知名廠商進行了評估,以供企業安全產品選型參考。
騰訊云WAF憑借出色的產品功能和應用案例入選報告,尤其是在API防護、BOT防護和小程序安全防護等方面表現脫穎而出,獲得Forrester的認可和推薦。
在此次報告中,Forrester指出,隨著應用程序變得更加復雜和組件化、應用程序從數據中心轉移到云等趨勢,應用程序攻擊變得更加復雜,現代WAF在完成合規、Web 應用程序保護和0day攻擊防護等傳統功能之外,逐漸延展出了API防護、移動應用程序保護、BOT防護、小程序安全防護和客戶端保護等更多拓展功能,呈現從單點防護產品向集成式解決方案發展的趨勢。
騰訊安全也觀察到,隨著人們的生產生活越來越多地依托于各種數字應用展開,Web 應用流量也呈現井噴態勢,并且不再僅僅局限于瀏覽器,移動應用——特別是小程序逐漸成為新生的流量載體,在某些全民性的體育賽事、大型晚會、電商促銷等場景,企業的網絡應用流量會遠超于常規水平。流量載體的多樣化、流量的井噴以及波動帶來新的安全挑戰:
● 高并發需要業務更穩定,考驗最大承載能力
● 突增流量場景需要,更敏捷響應業務變化的能力
● 小程序、API等豐富業態,需要更多樣接入方式
● 復雜攻擊事件飆升、0day漏洞頻發需要更強的威脅檢出能力等
為了應對上述挑戰,騰訊云WAF依托騰訊20余年業務安全運營及黑灰產對抗經驗,打造了基于 AI 的一站式 Web 業務運營風險防護方案,除了阻止針對Web應用層的常見攻擊,還可有效阻止爬蟲、薅羊毛、暴力破解、CC等攻擊,通過Web入侵防護、0day漏洞補丁修復、惡意訪問懲罰、云備份防篡改等多維度防御策略全面防護網站的系統及業務安全,為客戶的云上安全保駕護航。
騰訊云WAF具備以下顯著特性:
云原生架構:容器化集群極速響應,極速擴容,降低接入延遲,進一步提升穩定性,可承載單客戶千萬級QPS的業務需求和攻擊支持;
更多樣的接入方式:適配瀏覽器、小程序、App、H5和API全場景接入,一套方案能同時滿足有公網和內網訪問需求;國內首發的創新性“旁掛式”云原生架構CLB-WAF,具有無需修改域名解析快速接入、延時低、對業務無改動、快速應對突增流量,穩定性高等特點,可以保證業務安全能力快速上線;
更強大的引擎:支持精細化流量管理、基于語義的規則修正能力,HTTP協議的解析粒度更細,更精準,以及支持基于指紋的防護策略模板設置,實現更強大的惡意流量攔截能力;
BOT立體防護:騰訊云WAF將安全情報與BOT IP識別模塊相結合,同時借助客戶端風險識別體系和多維度實時分析,建立了BOT檢測響應體系,能快速感知來源的威脅程度、應對分布式BOT、高級持續BOT等;
精準的API防護:即開即用,一鍵開啟API的安全管控;自動發現,動態梳理資產用途和變化;場景識別,快速梳理敏感暴露面;可視化分析,指明趨勢和風險;聯動防護,聯動騰訊天御流量風控和威脅情報。
騰訊云WAF已廣泛應用于民生政務、金融、電子商務、新零售、教育、房地產、互聯網、游戲等領域的細分行業與市場,為云上企業提供全方位的Web應用安全支持。
在BOT管理上,騰訊安全WAF助力華住集團防護域名140+,提供了網站安全保護,并通過BOT行為管理治理了99%的惡意BOT爬蟲流量,通過BOT流量分析發現存在越權行為的API,還通過接入BOT SDK實現了多端的統一的防護控制。
在API防護上,騰訊云WAF-API安全幫助某大型醫院全面梳理了API資產,發現醫院APP存在大量無需鑒權即可訪問的API,并迅速處置了API風險,避免了百萬級敏感數據的泄露。
此前,騰訊云WAF已經獲得多次入選國際研報、多項權威機構獎項,尤其是在BOT和API防護等場景上相較于市場同類產品展現出了突出優勢。8月,Forrester針對API安全防護的評估報告《The API Security Software Landscape, Q3 2024》中,騰訊云WAF也入選報告并在多項指標上獲得了認可。此外,騰訊云WAF于2021和2022年先后入選Forrester《Now Tech: Bot Management, Q4 2021》、《Now Tech: Web Application Firewalls,Q2 2022 》報告。
