阿里云成为Gartner® WAAP市场指南报告云WAAP代表厂商

近日， Gartner发布《Market Guide for Cloud Web Application and API Protection》报告。阿里云凭借阿里云Web应用防火墙（Alibaba Web Application Firewall)，被报告认定为云WAAP代表厂商(Representative Vendors)之一。我们相信，此次入选代表着Gartner对阿里云智能化、一体化、原生化的肯定。

WAAP市场的总体趋势是向云原生集成，阿里云WAF3.0为客户提供与云基础设施高度耦合的WAAP解决方案，覆盖Web应用防护、API保护、BOT防护和DDoS防护，并且支持云原生的方式一键开启，简化接入流程，利用AI加持的智能化防护引擎，进一步强化Web安全防护效果，降低用户的运营成本。

API安全与合规是亮点

报告指出，“API安全是企业选择云WAAP解决方案过程中重要的关注点和驱动因素。”阿里云为客户提供API全生命周期安全防护，并持续提升防御水平。

发布API安全合规审查功能

国家互联网信息办公室公布的《数据出境安全评估办法》要求存在数据出境行为的企业进行自评估并及时上报。数据出境的方式有多种，而通过API接口流转是常见出境方式之一。

阿里云近期发布的API安全合规审查功能，在通过被动流量学习出所有API接口的基础上，进一步分析是否有个人信息通过API接口流转至非中国内地区域的行为，如有，则可以进一步分析：

出境的个人信息种类以及每种个人信息关联到自然人的数量；
存在出境行为的域名以及TOP API接口；
数据流转到非中国内地的具体地区以及数据量级。

用户可以通过API安全的合规审查功能来盘点数据出境行为是否符合预期，进一步完善申报报告。

发布API溯源分析能力

近年敏感数据泄露事件频出，通常企业在面临突发事件时不具备快速响应的能力，比如当判断一批个人信息被攻击者获取后，无法快速定位出入侵事件发生的时间、攻击入口API以及泄露的数据量级，企业通常会手足无措，不知如何下手。

WAF作为应用安全网关，是业务的流量入口。阿里云近期发布的API安全溯源分析能力，支持在用户授权的前提下，加密记录流转的数据内容，当出现信息泄露事件时，支持用户通过单条数据快速定位流转的时间点、API接口以及访问来源IP，通过进一步关联分析该IP或者API接口的数据流转量级来判断是否为数据泄露的源头，帮助企业提高应急响应的效率。

AI技术加持

低误报高准确率

阿里云将人工智能/机器学习技术应用于Web安全防护与BOT管理，有效降低误漏报率，提升准确率。

基础安全防护的AI应用

由于不同业务属性的流量特征各不相同，通常安全产品通用的一套防护策略难免出现误报和漏报的问题，误报和漏报就像是在天平的两端，安全运营人员需要花费精力分析安全日志，并通过添加白名单等来适配规则，这无疑增加了安全运营成本。

各个业务场景的差异又会形成了千人千面的业务流量特征，往往标准化的基线模型或者规则库容易造成对业务流量的误检测，从而影响业务正常的运行。而当企业需要对不同场景制定不同的规则集合时又需要投入大量的运营成本，此时智能化的规则运营就显得尤为必要，智能规则引擎解决了单一规则组的局限性的问题，可以更好的针对不同业务场景定制出不同的规则集合，同时节省了人工运营的成本。

为了解决该问题，阿里云WAF内置智能白名单功能，会依据用户的流量特征来训练基线，并针对拦截流量进行智能校准，例如，某个特定的请求参数或行为触发大量离散IP的拦截，同时请求的特征符合日常访问基线，该功能将自动生成API级别的白名单，实现安全防护策略的千人千面，从而最大程度的平衡误报和漏报，智能化降低用户的运营成本。

BOT管理的AI应用

机器人通常有趋利性，例如零售行业的热门商品发售被攻击者抢购一空，再到二级市场转卖获利，由于与利益相关，攻防对抗异常激烈，基于静态特征的拦截通常只能获得短暂的防护效果提升，无法长期维持比较高的防护水位。

阿里云WAF的BOT管理能力支持网页/H5（自动集成SDK）和原生APP（手工集成SDK）两类场景，通过SDK，客户端将上报浏览器或者APP所处的环境信息，进一步结合访问时序的分析，AI智能防护模块将自动化刻画攻击者ID，跟踪其访问行为，自主学习，发现隐匿的攻击流量，做出更加智能的决策，提升爬虫的检测率，降低用户的配置维护成本。

👍

去年升级的阿里云WAF3.0，支持服务化接入，支持ALB/MSE/FC/SAE等阿里云网关组件集成，一键接入防护，简化接入流程，其中服务化的接入方式WAF只作为安全模块，不参与转发，极大提升架构稳定性。

同时阿里云WAF、DDoS防护与DCDN集成，为客户提供完善的边缘安全加速一体化方案，请求流量会经过WAF安全引擎的检测处理，然后再进行加速和缓存后到达源站，既保证了安全防护效果，又实现了访问加速。

阿里云WAF致力于不断向原生化安全防护演进，为客户在云上提供越来越简单的安全选择，越来越智能的安全防御。

阿里云安全

国际领先的云安全解决方案提供方，零信任SASE、数据安全、流量安全等8大安全域百余项核心能力，助力百行百业在云上构建生于云架构，具备高度一体化、智能化、自我进化特征的原生安全保护体系。

2023年，在Forrester《基础设施即服务平台原生安全Wave》报告中，国内第一；2022年，国际知名咨询机构对全球云厂商解决方案能力评估中，阿里云的安全能力第一；2020 年，国内唯一云厂商整体安全能力获国际三大机构（Gartner/Forrester/IDC）认可。

云原生安全技术的引领探索和实践者，通过安全能力与云紧耦合，实现双向技术的变革式突破，安全能效数倍提升，高弹高可用、稳定与协同；云服务内置天然免疫基因，与用户一起共同守护云上数字原生世界安全。

*Gartner, Market Guide for Cloud Web Application and API Protection, 13 November 2023 Gartner未在其报告中支持任何厂商、产品或服务，也并不建议技术用户只选择有最高评分或其它特征的厂商。Gartner研究出版物代表的是Gartner研究机构的意见，不应解释为对事实的陈述。Gartner对与本研究有关的所有明示或暗示的保证概不负责，包括对适销性或特定用途的适用性的任何保证。Gartner和Magic Quadrant是Gartner 有限公司和/或其附属公司在美国及全球的注册商标和服务商标，经许可在此使用。保留所有权利。