8月30日，知名咨詢機構(gòu)Gartner發(fā)布2022云Web應用程序和API保護魔力象限。當前，云Web應用程序和API保護市場迅速增長。

Gartner預測，到 2024 年，70%實施多云戰(zhàn)略的企業(yè)將青睞云 Web 應用程序和API保護平臺 （WAAP） 服務，而不是WAAP設備和IaaS原生WAAP。

到2026年，40%的企業(yè)將根據(jù)API保護和Web應用程序安全功能選擇WAAP供應商，與2022年不足15%的比例相比有所上升。

到2026年，超過40%的擁有C端應用程序的企業(yè)，將依靠WAAP來緩解僵尸攻擊，2022年該比例不到10%。

Web應用程序和API保護平臺（WAAPs）主要保護面向公眾的網(wǎng)絡應用程序和API，可以緩解大部分運行時攻擊，尤其是開放網(wǎng)絡應用安全項目（OWASP）的網(wǎng)絡應用程序威脅、自動化威脅和對API的專門攻擊。

WAAP供應商與API威脅保護供應商競爭激烈，API安全正成為WAAP評估的一個關鍵部分。Gartner觀察到，今年評估的供應商提供的API保護產(chǎn)品有明顯的改進，但集成到云計算WAAP中的API保護功能更像初始版本，缺乏深度，尤其是發(fā)現(xiàn)模塊提供的API警報和業(yè)務背景管理方面。更多的供應商推出了差異化的API發(fā)現(xiàn)功能，例如對惡意和授權機器人進行細粒度分類、替代傳統(tǒng)的干擾性驗證碼服務等等。

在過去的一年里，使用ML檢測和誤報率已經(jīng)趨于平緩，沒有明顯的改善，供應商也不再強調(diào)，這反映了市場對“ML Hype”的普遍疲勞。ML對于克服大規(guī)模管理WAAP配置仍然有效，同時它提供變更工作流程管理、可靠的配置審計和變更跟蹤，以及全局設置、組設置和應用程序設置的良好組合。然而，Gartner沒有觀察到這一領域有任何明顯的改進。

2022云Web應用程序和API保護魔力象限

2022云Web應用程序和API保護魔力象限

截至2022年8月，Gartner評選出的云Web應用程序和API保護領導者為Akamai、Cloudflare、Imperva；挑戰(zhàn)者為AWS、Fastly；利基玩家微軟、F5、Fortinet、Barracuda、ThreatX；愿景者Radware。

趨勢：分布式WAAP成為WAAP市場的一個獨立部分

越來越多的云計算WAAP供應商正在為更加自動化的云計算應用增加部署選項，例如Kubernetes sidecars、容器化WAAP和WAAP代理。然而，這一領域的前景仍然不明朗。但嵌入式WAAP不能取代云交付的WAAP，以滿足每一個用例和要求，如DDoS保護或在各種環(huán)境上托管數(shù)百個應用程序前快速部署的能力。

分布式WAAP旨在改善DevSecOps實踐，通過 “左移 ”技術保護新開發(fā)的應用程序，但它們并不能解決傳統(tǒng)和第三方應用程序的 “右移 ”需求。未來，擁有成熟的DevOps實踐的大型企業(yè)需要云網(wǎng)關WAAP和分布式WAAP組合，以實現(xiàn)DevSecOps和更好地保護現(xiàn)有應用。

未來幾個月的愿景可能是，WAAP代理、容器和虛擬機將成為集成網(wǎng)絡和分布式WAAP的組成部分。如果分布式WAAP想實現(xiàn)大規(guī)模部署，最大的挑戰(zhàn)是集中但靈活的管理監(jiān)控。供應商還必須確定哪些功能最適合分布式WAAP，例如對某些工作負載的針對性的保護，以及哪些應在網(wǎng)絡層面上執(zhí)行，如API發(fā)現(xiàn)和僵尸緩解。

參考鏈接：https://www.gartner.com/doc/reprints?id=1-2B148MS9&ct=220906&st=sb