Cloudflare 獲評 2022年度Gartner WAAP魔力象限業界領導者

Gartner 在 2022 年度“Gartner® Web 應用程式和 API 保護 (WAAP) 魔力象限™”報告中評估了 11 家供應商的“執行能力”和“願景完整性”，並將 Cloudflare 評為“領導者”。
我們認為，這一成就突顯了我們在這一領域持續做出的努力和投入，我們致力於為使用者和客戶提供更優秀、更有效的安全解決方案。

Cloudflare 全球網路每秒能夠處理 3600 多萬次 HTTP 請求，因此我們能夠對網路模式和攻擊手段有前所未有的清晰瞭解。利用這一處理規模，我們可以有效區分乾淨流量與惡意流量，這樣我們的 WAAP 產品組合就能夠在邊緣緩解 Cloudflare 所代理的十分之一的 HTTP 請求。
僅僅瞭解情況是不夠的，隨著新的用例和模式不斷湧現，我們繼續投入研究和新產品開發。例如，API 流量越來越多（在總流量中的占比超過 55%），我們預計這一趨勢並不會減緩。為説明客戶處理這些新的工作負載，我們的 API 閘道利用我們的 WAF，為結構良好的 API 流量帶來了相較於基於 Web 的標準應用程式更好的可見性和緩解能力，為此，我們觀察了各種不同的攻擊模式。
我們認為，得益于我們在應用程式安全性領域的持續投入，我們在這一領域才佔有一席之地，我們也要感謝 Gartner 的認可。

Cloudflare 在 Web 應用程式和 API 保護 (WAAP) 大類下構建了多項功能。

我們的網路覆蓋了 100 多個國家/地區的超過 275 個城市，是我們平臺的主幹，也是支援我們緩解任何規模的 DDoS 攻擊的核心組件。
為説明實現這一點，我們的網路有意採用了任播模式，並從所有位置廣播相同的 IP 位址，這樣我們就能將傳入流量“拆分”為每個位置都可以輕鬆處理的易於管理的塊，這一點在緩解大量分散式拒絕服務 (DDoS) 攻擊時尤其重要。
將系統設計為幾乎或完全不需要配置同時能夠“永遠線上”，確保攻擊立即得到緩解。此外，我們還配有一些非常智慧的軟體，例如新的位置感知緩解，這樣 DDoS 攻擊便可輕鬆得到解決。
如果客戶採用非常明確的流量模式，一鍵即可完全配置我們的 DDoS 託管規則。

我們的 WAF 是我們的應用程式安全性的核心元件，可確保駭客和漏洞掃描程式難以找到 Web 應用程式中的潛在漏洞。
這在零日漏洞開始暴露時非常重要，因為我們發現有惡意行為者在漏洞暴露後短短幾小時之內就企圖利用新的攻擊手段。Log4J 以及最近的 Confluence CVE 就是我們觀察到這種行為的兩個例子。正因為如此，我們的 WAF 還得到了安全專家團隊的支持，他們持續監控並製作/改進簽名，確保我們為客戶贏得寶貴時間，以便客戶根據需要固化後端系統並打上補丁。此外，作為對簽名的補充，我們的 WAF 機器學習系統會對每次請求進行分類，從而提供更廣泛的流量模式視圖。
我們的 WAF 具備許多高級功能，例如洩露憑據檢查、高級分析以及警報和有效負載日誌記錄。

眾所周知，Web 流量的很大一部分是自動流量，雖然並非所有自動流量都是惡意的，但有一些流量是不必要的，還可能是惡意的。
我們的機器人管理產品與我們的 WAF 並行工作，對每次請求進行評分，評估請求由機器人生成的可能性，這樣您就可以通過部署 WAF 自訂規則來輕鬆過濾有害流量，而這一切都有賴於強大的分析功能支持。我們還維護了已驗證機器人列表，您可以利用該列表進一步改進安全性原則，從而簡化工作。
如果您想阻止自動流量，則可借助 Cloudflare 的託管質詢確保只會將機器人拒之門外，而不會影響真實用戶的體驗。

按照定義，相對於流覽器使用的標準網頁而言，API 流量的結構非常良好。而且，API 往往更貼合抽象的後端資料庫和服務，更容易引起惡意行為者的注意，卻常常被內部安全團隊所忽視（影子 API）。
API 閘道可以疊加在我們的 WAF 之上，幫助您發現基礎設施提供的 API 端點以及檢測流量流中可能表明存在破壞情況的潛在異常，包括容量和連續角度。
由於 API 的性質，API 閘道也能夠更輕鬆地提供不同於我們的 WAF 的積極安全模型：僅允許已知善意流量，而阻止其他一切內容。客戶可以利用模式保護和相互 TLS 身份驗證 (mTLS) 輕鬆實現這一點。

直接利用流覽器環境的攻擊可能在一段時間內都不會被察覺，因為它們並不一定會破壞後端應用程式。例如，如果 Web 應用程式使用的任何協力廠商 JavaScript 庫在實施惡意行為，很可能信用卡詳情也在洩露給攻擊者控制的協力廠商端點，而應用程式管理員和使用者卻毫不知情。這是 Magecart 的常見攻擊手段，Magecart 是許多用戶端安全性攻擊中的一種。
Page Shield 解決用戶端安全性問題的方法是積極監控協力廠商庫，每當有協力廠商資產表現出惡意活動時都提醒應用程式所有者。它利用內容安全性原則 (CSP) 等公開標準以及自訂分類器來保障覆蓋範圍。
Page Shield 就像我們的其他 WAAP 產品一樣，完全集成在 Cloudflare 平臺上，只需一鍵即可打開。

Cloudflare 的新安全中心是 WAAP 產品組合的大本營。安全專業人士從這一個地方就可以廣泛瞭解 Cloudflare 所保護的網路和基礎設施資產。
接下來，我們計畫讓安全中心成為取證和分析的起始點，讓您能夠在調查事件的同時利用 Cloudflare 威脅情報。

我們的 WAAP 產品組合是從單一水準平臺交付的，這樣您無需額外部署即可利用所有安全功能。此外，擴展、維護和更新完全由 Cloudflare 管理，這樣您就可以專注于利用您的應用程式創造商業價值。
這甚至應用於 WAAP 之外的地方，因為儘管我們起初是為 Web 應用程式構建產品和服務，但我們憑藉在網路中的地位，能夠保護連接到互聯網的任何內容，包括團隊、辦公室和面向內部的應用程式。這一切都從同一個單一平臺進行。我們的 Zero Trust 產品組合現在是我們業務不可或缺的一部分，WAAP 客戶只需點擊幾次即可開始利用我們的安全訪問服務邊緣 (SASE)。
如果您想要從管理和預算的角度鞏固安全態勢，應用程式服務團隊可以使用內部 IT 服務團隊用於保護員工和內部網路的同一平臺。

我們打造 WAAP 產品組合的過程是久久為功，就在過去一年，我們已經發佈了超過五個 WAAP 產品組合安全產品主版本。為了展示我們的創新速度，請參閱我們的以下精品名錄：
• API Shield 模式保護：基於簽名的傳統 WAF 方法（消極安全模型）並非總能很好地適用於結構良好的資料，如 API 流量。鑒於網路中的 API 流量增長迅猛，我們打造了新的增量產品，讓您能夠使用積極安全模型在邊緣直接實施 API 模式，也就是只讓結構良好的資料流程入您的源 Web 伺服器
• API 濫用檢測：作為 API 模式保護的補充，API 濫用檢測每次在您的 API 端點上檢測到異常時都會向您發出警告。這些警告可以由不尋常的流量流或不遵循正常流量活動的模式觸發
• 我們的新 Web 應用程式防火牆：核心 Web 應用程式防火牆是在我們的新邊緣規則引擎基礎上構建的，我們對其進行了徹底改造，從引擎內部機制一直到 UI，全部包括在內。性能得以提升，包括延遲情況以及阻止惡意有效負載的效果。我們還提供了嶄新的功能，包括但不限於洩露憑據檢查、帳戶範圍的配置和有效負載日誌記錄；
• DDoS 可自訂託管規則：為了提供額外的配置靈活性，我們開始公開我們的一些內部 DDoS 緩解託管規則，用於自訂配置，進一步減少誤報，並允許客戶根據需要提高閾值/檢測頻率；
• 安全中心：Cloudflare 關於基礎設施和網路資產的視圖，以及針對錯誤配置和潛在安全問題的警報和通知；
• Page Shield：基於不斷增長的客戶需求以及聚焦最終使用者流覽器環境的層出不窮的攻擊手段，Page Shield 可幫助您檢測惡意 JavaScript 何時可能侵入您的應用程式的代碼
• API 閘道：完全 API 管理（包括直接從 Cloudflare 邊緣路由），其中集 API 安全性於一體，包括加密和相互 TLS 身份驗證 (mTLS)
• 機器學習 WAF：作為我們的 WAF 託管規則集的補充，我們的新 ML WAF 引擎會對每一次請求進行評分，分值從 1（乾淨）到 99（惡意）不等，讓您更加清晰地瞭解有效和非有效的惡意有效負載，提高我們檢測針對您應用程式的攻擊和掃描的能力