国际权威研究机构Forrester发布最新研究报告《The Web Application Firewall Solutions Landscape, Q4 2024》(以下简称“报告”),从市场规模、部署方式、市场区域、应用场景等多个维度,对全球30家Web应用防火墙(WAF)知名厂商进行了评估,以供企业安全产品选型参考。
腾讯云WAF凭借出色的产品功能和应用案例入选报告,尤其是在API防护、BOT防护和小程序安全防护等方面表现脱颖而出,获得Forrester的认可和推荐。
在此次报告中,Forrester指出,随着应用程序变得更加复杂和组件化、应用程序从数据中心转移到云等趋势,应用程序攻击变得更加复杂,现代WAF在完成合规、Web 应用程序保护和0day攻击防护等传统功能之外,逐渐延展出了API防护、移动应用程序保护、BOT防护、小程序安全防护和客户端保护等更多拓展功能,呈现从单点防护产品向集成式解决方案发展的趋势。
腾讯安全也观察到,随着人们的生产生活越来越多地依托于各种数字应用展开,Web 应用流量也呈现井喷态势,并且不再仅仅局限于浏览器,移动应用——特别是小程序逐渐成为新生的流量载体,在某些全民性的体育赛事、大型晚会、电商促销等场景,企业的网络应用流量会远超于常规水平。流量载体的多样化、流量的井喷以及波动带来新的安全挑战:
● 高并发需要业务更稳定,考验最大承载能力
● 突增流量场景需要,更敏捷响应业务变化的能力
● 小程序、API等丰富业态,需要更多样接入方式
● 复杂攻击事件飙升、0day漏洞频发需要更强的威胁检出能力等
为了应对上述挑战,腾讯云WAF依托腾讯20余年业务安全运营及黑灰产对抗经验,打造了基于 AI 的一站式 Web 业务运营风险防护方案,除了阻止针对Web应用层的常见攻击,还可有效阻止爬虫、薅羊毛、暴力破解、CC等攻击,通过Web入侵防护、0day漏洞补丁修复、恶意访问惩罚、云备份防篡改等多维度防御策略全面防护网站的系统及业务安全,为客户的云上安全保驾护航。
腾讯云WAF具备以下显著特性:
云原生架构:容器化集群极速响应,极速扩容,降低接入延迟,进一步提升稳定性,可承载单客户千万级QPS的业务需求和攻击支持;
更多样的接入方式:适配浏览器、小程序、App、H5和API全场景接入,一套方案能同时满足有公网和内网访问需求;国内首发的创新性“旁挂式”云原生架构CLB-WAF,具有无需修改域名解析快速接入、延时低、对业务无改动、快速应对突增流量,稳定性高等特点,可以保证业务安全能力快速上线;
更强大的引擎:支持精细化流量管理、基于语义的规则修正能力,HTTP协议的解析粒度更细,更精准,以及支持基于指纹的防护策略模板设置,实现更强大的恶意流量拦截能力;
BOT立体防护:腾讯云WAF将安全情报与BOT IP识别模块相结合,同时借助客户端风险识别体系和多维度实时分析,建立了BOT检测响应体系,能快速感知来源的威胁程度、应对分布式BOT、高级持续BOT等;
精准的API防护:即开即用,一键开启API的安全管控;自动发现,动态梳理资产用途和变化;场景识别,快速梳理敏感暴露面;可视化分析,指明趋势和风险;联动防护,联动腾讯天御流量风控和威胁情报。
腾讯云WAF已广泛应用于民生政务、金融、电子商务、新零售、教育、房地产、互联网、游戏等领域的细分行业与市场,为云上企业提供全方位的Web应用安全支持。
在BOT管理上,腾讯安全WAF助力华住集团防护域名140+,提供了网站安全保护,并通过BOT行为管理治理了99%的恶意BOT爬虫流量,通过BOT流量分析发现存在越权行为的API,还通过接入BOT SDK实现了多端的统一的防护控制。
在API防护上,腾讯云WAF-API安全帮助某大型医院全面梳理了API资产,发现医院APP存在大量无需鉴权即可访问的API,并迅速处置了API风险,避免了百万级敏感数据的泄露。
此前,腾讯云WAF已经获得多次入选国际研报、多项权威机构奖项,尤其是在BOT和API防护等场景上相较于市场同类产品展现出了突出优势。8月,Forrester针对API安全防护的评估报告《The API Security Software Landscape, Q3 2024》中,腾讯云WAF也入选报告并在多项指标上获得了认可。此外,腾讯云WAF于2021和2022年先后入选Forrester《Now Tech: Bot Management, Q4 2021》、《Now Tech: Web Application Firewalls,Q2 2022 》报告。