全栈应用与API安全解决方案白皮书

白皮书 从WAF到WAAP：Akamai的整体应用程序和API安全解决方案方法 内容 引言04 传统定义的网络应用防火墙（WAF）05挑战与传统的Web应用防火墙相关06设计原则从WAF至WAAP07 Akamai的WAAP方法10 超出规则集M10项超越速率限制的现代应用层DDoS防御措施M10一站式综合防护解决方案11 自适应安全引擎12 自适应威胁检测13自动更新A13测试框架以确保准确性14自动自调谐15配置和自 动化灵活性C15在现实世界中验证16集成现代化的保护措施我16 应用安全与DDoS防御18 行为式DDoS引擎：其工作原理19应用安全准确性21客户声誉评分22 恶意软件防护23 应用安全分析24 API发现与配置25 机器人可见性和缓解措施27 无可见性和缓解措施内置于AppAPIProtectorB27关键机器人功能28 不仅仅是一个WAF：Akamai解决方案的益处29 威胁情报与检测30 卡迈平台智能A30威胁研究与事件响应31风险研究T31事故响应我31API威胁检 测R31CVE保护32 全球分布式边缘平台33 可靠性和弹性R33全球规模35性能P35 边缘平台助力防护36 管理攻击支持37网络安全作战指挥中心（SOCC）S37 结论38 引言 随着攻击面越来越大、越来越多样化，运营摩擦和成本不断增加，以及不断规避多维度威胁，安全团队需要超越传统Web应用防火墙（网络应用防火墙（WAF）特别是 ，他们需要更多自动化工具来提高效率，以及更深入应用和应用程序编程接口（API）生态系统保护。这些保护现代术语是Web应用程序和API保护（）。WAAP精明组织优先考虑其业务安全和顾客安全，要求在整个数字资产中全面防范多种威胁。除了保护应用程序免受已知、未知和零日攻击外，这些保护措施还包括： 可适应威胁检测 自动化政策更新 强健DDoS防御 API发现与保护 机器人可见性和缓解措施 易于集成开发生命周期 本文讨论了传统WAF技术，从WAF到WAAP转变，以及不断演变市场需求，这些需求推动了WAAP解决方案发展。作为网络安全领域知名领导者，Akamai公司专注于创新网络安全技术，以推动和保护在线用户在线生活。 akamaicom5 akamaicom5 一个传统WAF位于终端用户和Web应用程序之间流量流中间。WAF会检查通过其传输未加密或加密HTTP流量，以寻找由规则列表定义任何攻击。 大多数Web应用防火墙（WAF）依赖于预定义规则列表来识别恶意HTTP请求，这些请求夹杂在合法HTTP流量中，以防御数千种可能已知漏洞。此外，新攻击向量或现有攻击向量额外变化持续演变，并被威胁行为者所利用。这就是传统WAF需要不断更新和调整其规则以适应合法流量特性，这些特性会根据每个应用程序而有所不同，并且会随时间而变化。 随着终端用户对保护和性能提出了更高要求，WAFs已将范围扩大至包括分布式拒绝服务（DDoS）等相邻安全技术和服务。DDoS缓解、API安全性和机器人缓解功能。这种持续演变需要新定义和新术语。 拥有WAF（Web应用防火墙）组织往往声称它未能达到在有效性、管理简便性和对受保护应用程序和API影响方面初始预期。由于检查数十亿个网页和API请求以检测恶意代码时常常出现网络性能问题，WAF常常成为组织内部摩擦、性能下降以及因安全协议而导致部署障碍源头。 部分最显著WAF（Web应用防火墙）部署挑战源于以下原因： 不准确检测和高误报率导致警报疲劳和额外风险一个 WAFs依赖手动审查、调整和维护。 缺乏细粒度控制导致粗略拒绝策略，从而中断用户体验和业务流程。e 过时威胁情报加剧了脆弱性。 因限制和不灵活性导致性能和覆盖范围下降。 过于有限，无法保护数字扩展 传统WAF（Web应用防火墙）是一种强大安全工具。然而，它们往往会使组织面临运营痛点和无法缓解风险，这些问题将在本文中予以解决。 寻求用WAAP方案更新其WAF技术组织应确保该方案既能带来商业价值，又能提供强大安全防护。从WAF到WAAP转换将这种防护能力与功能、效率以及易用性相结合 ，以满足业务需求，不仅针对安全团队，也针对其他团队。 设计原则从WAF到WAAP 由于传统WAF产品侧重于终端用户规则创建，任何供应商都可以相对容易地构建一个WAF解决方案并将其推向市场，正如围绕开源OpenWorldwideApplicationSecurityProjectModSecurityCoreRuleSet构建商业产品普遍存在所证明那样（OWASPCRS 然而，对于提供商来说，设计一个全面企业级AvailabilityAccessabilityandResiliencyWAAP解决方案相当困难： 部署在在线环境中以保护应用程序和API，防止新漏洞出现。em 紧跟现代应用开发实践 提供同样强大DDoS防御层、机器人缓解、API保护和客户端Web应用程序保护一个 随着Akamai接近我们WAAP解决方案设计，我们相信它不应只是“足够好”。AppAPIProtector创建旨在应对安全风险，同时让我们客户组织专注于主要业务目标。作为我们设计蓝图，我们认为一个理想WAAP解决方案应提供： 有效安全 应用程序运行着企业各个方面。对企业安全团队而言，确保它们免受恶意攻击是基础目标。安全团队面临着找到一种WAAP解决方案，该方案能够在WAAP解决方案中提供最优秀检测功能。理想网络安全工具优先考虑检测效果，因为这是WAAP解决方案最重要方面，并且在零日漏洞、漏洞利用和通用漏洞和暴露（CVE）防御方面拥有卓越记录，同时还拥有令人印象深刻可用性历史。 精确度 安全团队需要在降低风险同时，确保业务能够快速推进，找到恰当平衡点。理想解决方案应具备自我调节机制，有助于减少误报，同时不损害最终用户体验和业务流程。 现代化保护措施 组织必须不断地（通常是手动地）更新防护措施以适应最新规则，以便应对发现新漏洞 。为了做到这一点，他们需要两项关键能力：能够获取攻击向量方面最新情报，以及能够调整防御策略以应对灵活攻击专业安全资源。理想解决方案将是在威胁情报界处于领导地位，并提供能够简化跨整个防护领域安全运营能力。 适应性 威胁态势以极快速度演变。随着人工智能驱动攻击即将到来，安全团队在安全运营中需要比以往任何时候都更加高效。理想WAAP解决方案将结合先进自动化、机器学习和深度全球情报，自动提供更新，并给出点击即可实施定制化规则修改建议。 能见度 传统WAF解决方案通常提供源源不断警报，并依赖于安全专业人员仔细分析每个警报，这会耗费内部资源。更有效WAAP解决方案提供多解决方案可视性和关于攻击主动上下文，通过在警报发生时、地点和方式通知组织，以减轻资源负担。 可扩展性 一个规模不足以处理来流量量解决方案可能轻易地成为瓶颈，增加网页延迟，并在负载下有断裂潜在风险。一个有效WAAP方法能够无缝且自动地根据随时间变化 流量需求和攻击进行扩展，提供连续保护，而不会中断或降低性能。 9 akamaicom9 合作 一个有效安全解决方案需要能够集成到当前系统中，可编程，易于使用，且无摩擦。理想解决方案在安全团队和开发团队之间架起一座桥梁。 支持 在要求严格安保事件中，组织常常因提供及时解决方案所需技能和资源而感到力不从心。理想解决方案将包含常规托管服务选项，以及按需服务选项，这些选项能够提供针对常见场景专业知识和缓解措施，包括活跃攻击、服务问题、员工流动、内部技能差距等。 带着这些设计原则，让我们探讨Akamai如何构建我们领先WAAP解决方案。应用与API保护器从核心技术开始。我们解决方案结合了许多安全产品于一体，全面解决应用安全、防御大规模DDoS攻击、保护整个环境中API以及控制机器人流量等挑战。 AkamaiWAAP方法 超越规则集 随着市场从传统WAF设计原则转向现代有效WAAP安全解决方案，有效检测和缓解技术仍然是最关注焦点。 Akamai于2009年首次推出我们Web应用防火墙（WAF），这是世界上第一个基于边缘WAF。当时网络安全厂商提供WAF是基于静态规则集检测基础。Akamai在当时通过构建一个名为KonaRuleSet专有规则引擎进行差化，该引擎结合了少量 灵活规则（而不是静态规则）与常评分模型，以更好地解决攻击准确性和可观察性。 2017年，Akamai推出了自动化攻击组，消除了组织需要不断使用Akamai管理保护来配置和更新规则必要性。自动化攻击组是一场革命，迅速在成千上万活跃Akamai客户WAF策略中启用，以利用这种新方法。 Akamai持续优化其应用安全方法，通过2021年推出AppAPIProtector，优先考虑结合应用和API保护，包括反机器人功能。这一WAAP解决方案旨在取代企业级和全球业务不断增长KonaSiteDefenderWAF。AppAPIProtector进行了变化，但具体内容未提供。阿卡迈通过现代化Kona规则集技术，将其引入自适应安全引擎方式来处理安全操作。 现代化应用层DDoS防御，超越速率限制 当谈及DDoS攻击时，速率限制是一种经过验证且有效工具。然而，复杂层7DDoS攻击 、多向量攻击以及API利用使得传统DDoS防御努力保持同步变得常困难。依赖于固定阈值和预定义签名静态防御是反应性且容易产生误报，尤其是在攻击者越来越多地将恶意流量与合法请求相混合情况下。这就是Akamai改变了DDoS防御方法，并引入了如URL保护和行为DDoS引擎等新创新地方。 akamaicom10 本报告来源于三个皮匠报告站（wwwsgpjbgcom），由用户Id879887下载，文档Id621138，下载日期20250 The行为式DDoS引擎这是一项尖端技术，新增至AkamaiAppAPIProtector，成为其核心技术组成部分之一。这些引擎共同提供前所未有现代威胁防护，使Akamai成为WAAP领域领导者。这种双引擎方法通过提供自动化更新、自我调优能力和情境感知检测，为用户带来无需手动干预体验。 单一解决方案，全面保护 今天，随着无服务器边缘计算、基于微服务架构、单页应用以及SaaSIaaSPaaSFaaS方法采用继续重塑应用安全，变革持续重新定义应用安全实践。 为了保护复杂IT环境中现代应用程序和API，Akamai对我们应用程序安全技术进行了重构，采用了一种更适应性、灵活性和全面方法。随着AkamaiWAAP解决方案从Web应用程序保护者（WebApplicationProtector）和Kona站点防御者（KonaSiteDefender）迁移到应用与API保护者（AppAPIProtector），纳入了更多安全功能和工具集。 AppAPIProtector现在提供许多额外安全增强功能，所有这些功能都可通过单个界面进行查看和控制。AkamaiWAAP解决方案结合了： 1自适应安全引擎 2具有细粒度控制网络安全应用 3DDoS防御，包括高级第7层DDoS保护 4API保护，包括发现和PII保护功能 5漏洞可见性和缓解能力 6一个全球规模、威胁情报和弹性平台 自适应安全引擎 自适应安全引擎在机器学习（ML）、实时安全智能、网络安全专家和高级自动化交汇处提供下一代保护。作为Akamai检测和防御核心技术，自适应安全引擎允许无手工干预方式来保护整个Web应用程序和API资产。它还增加了Akamai从WAF到WAAP 进步，其中包括关联安全解决方案，如机器人管理器、DDoS保护、DevOps集成等等。 高级自动化 机器学习 自适应安全引擎 技术之外 一个WAF规则集智能，主动 现代化 400人 威胁猎人 9PB信息 数据库 自适应安全引擎独特之处在于它能学习每个客户独有流量和攻击模式，实时分析每个请求特征，并利用这些知识来拦截和适应未来威胁。它通过调整推荐来利用相同平台洞察力和智能，以减少误报。这一自我调优功能通过提供主动更新自适应威胁保护，为安