2025-05-21 14:03:19 中华网
近日,Gartner®发布《Market Guide for Cloud Web Application and API Protection》报告(以下简称“报告”),腾讯云凭借旗下WAF产品入选代表厂商,这是腾讯云连续第二年入选该指南。
云时代,越来越多企业通过Web应用、 APP服务、小程序承载企业核心业务和数据资产, “网络应用程序和API是网络攻击的主要目标,包括复杂的API和机器人程序攻击、客户端攻击和零日漏洞。”Gartner指出,“云WAAP解决方案通过集成检测和预防控制的组合并将其整合到单一的即服务产品中来解决这些挑战。”
云Web应用程序和API保护(WAAP)服务作为一种综合性的多层防护解决方案,核心功能覆盖Web应用防火墙 (WAF)、BOT流量管理、API安全和DDoS防护,可有效强化企业Web安全防护力。Gartner对云WAAP的定义指出,“所有四个核心功能都必须在一个平台或产品中提供”,而不依赖于第三方集成或外部服务。
同时,报告指出:“根据Gartner客户的询问和最终用户的反馈,云采用是当前WAAP部署的主流,因此,消费者对传统WAAP提供商提出了更高的要求,要求他们在云原生环境中提供类似的功能。”并且,“在选择云WAAP解决方案的过程中,API保护已成为主要兴趣。随着WAF专注于保护应用程序的基于web的前端,并且随着WAF越来越成为一种商品,API保护要求现在是许多组织探索云WAAP市场的主要驱动力。”Gartner在报告中提醒到。
腾讯云WAF依托腾讯20余年业务安全运营及黑灰产对抗经验,打造了基于AI的一站式Web业务运营风险防护方案,除了阻止针对Web应用层的常见攻击,还可有效阻止爬虫、薅羊毛、暴力破解、CC等攻击,通过Web入侵防护、0day漏洞补丁修复、恶意访问惩罚、云备份防篡改等多维度防御策略全面防护网站的系统及业务安全,为客户的云上安全保驾护航。
值得一提的是,腾讯云WAF支持SaaS、CLB和混合云等多种云原生接入方式,其中国内首发的创新性“旁挂式”云原生架构CLB-WAF,具有无需修改域名解析快速接入、延时低、对业务无改动、快速应对突增流量,稳定性高等特点,可以保证业务安全能力快速上线。同时,腾讯云WAF在BOT管理、API安全、小程序安全加速等场景具备独特的能力优势。
※BOT流量管理
腾讯云WAF为企业打造了基于AI+规则情报+客户端风险识别+机器学习的一站式Anti-BOT方案,通过规则情报将存在异常的IP(代理、扫描器、威胁情报)、BOT访问特征进行快速过滤,随后通过客户端风险识别中的检测是否真人真机,最后通过后端的机器学习+AI方案分析得出异常的访问行为,并进行处置,为企业构筑多层次、体系化的BOT检测响应防线。在实战中,腾讯云WAF准确拦截异常流量达99.9%。
值得一提的是,腾讯云WAF-BOT流量管理创新性集成图灵盾风险识别能力,以稳定性、高对抗性、合法合规、易于集成和安全高效特性,进一步应对黑灰产的AI智能化发展。腾讯云图灵盾以可信设备标识为基础,通过设备、账号、环境、行为、场景等多维度信息,结合AI模型策略能力,实现假人假机-假人真机-真人真机的全面覆盖,全方位识别风险流量。其遵循个人信息收集原则,符合最小必要原则,隐私友好、合规可控;在腾讯AI原子能力助力下,图灵盾采用动静态特征相结合生成的新一代AI可信设备标识,亿级准确召回率达99.94%,亿级膨胀率小于0.1%,反作弊能力进一步增强。
※API安全
腾讯云WAF具有强大的API发现能力,腾讯云WAF可以帮助企业用户全面清点API资产、智能发现API动态变化及风险趋势、精准识别API暴露面及敏感数据,灵活、全面、精准构建API全生命周期安全防护。在落地实践中,腾讯云WAF-API安全帮助某大型医院全面梳理了API资产,发现医院APP存在大量无需鉴权即可访问的API,并迅速处置了API风险,避免了百万级敏感数据的泄露。
※小程序安全加速
腾讯云WAF创新升级业内首个小程序安全加速解决方案,为小程序商户提供包括小程序加速、数据私有协议加密、DDoS防护、Web应用防护等多种能力,并且能够以极简的接入方式、流畅的用户体验把安全防护无缝内置到业务中,帮助小程序网络稳定性提升10倍,网络成功率提升至99.9%以上,同时提供小程序原生防护能力。在茶百道的大型营销活动中,腾讯云WAF-小程序安全加速服务,一举防住了黑灰产的4000万次攻击,成功拦截10万+QPS的异常请求,保障每天10000杯免费奶茶不被薅走,让活动资源精准分发给目标用户。
随着企业数字化进程加速,企业安全建设向云上应用延伸已经成为大势所趋。未来,腾讯安全也将不断深耕泛互、游戏、电商、金融等千行百业的多维度场景,持续进行技术升级和产品创新,助力企业筑牢数字安全防线,实现数字化转型高质量发展。
Gartner,Market Guide for Cloud Web Application and API Protection,14 April 2025
Gartner 并未在其研究报告中支持任何供应商、产品或服务,也并未建议科技用户只选择该等获最高评分或其它称号的供应商。Gartner 的研究报告含有 Gartner 研究与顾问组织的意见,且该意见不应被视作事实陈述。就该研究报告而言,Gartner 放弃做出所有明示或默示的保证,包括任何有关适销性或某一特定用途适用性的保证。
GARTNER 是 Gartner, Inc. 和/或其关联公司在美国和国际上的商标和服务标识,并在获得许可的情况下在此使用。保留所有权利。
