WAAP
Что такое WAAP?
WAAPWAAP (Web Application and API Protection) — современная эволюция WAF, объединяющая защиту API, управление ботами и митигацию DDoS в единый облачный сервис.
Web Application and API Protection (WAAP) — категория Gartner для облачных сервисов, объединяющих четыре столпа защиты приложений на границе: WAF, защиту API, управление ботами и митигацию DDoS. В отличие от классического WAF, WAAP понимает современные архитектуры (JSON, GraphQL, микросервисы, мобильные клиенты) и относится к API как к равноправному активу: обнаруживает их, валидирует схемы и выявляет злоупотребления. WAAP обычно поставляется CDN/edge-провайдерами (Cloudflare, Akamai, AWS, Fastly, Imperva), поэтому политики применяются близко к пользователю с низкой задержкой. Это ключевой компонент защиты публичных API и SPA от OWASP Top 10, OWASP API Top 10 и автоматизированных атак.
● Примеры
- 01
WAAP обнаруживает забытое внутреннее API и блокирует злоупотребление параметрами с помощью валидации схемы.
- 02
Ограничение запросов и работа с ботами при волне credential stuffing против клиентского API входа.
● Частые вопросы
Что такое WAAP?
WAAP (Web Application and API Protection) — современная эволюция WAF, объединяющая защиту API, управление ботами и митигацию DDoS в единый облачный сервис. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает WAAP?
WAAP (Web Application and API Protection) — современная эволюция WAF, объединяющая защиту API, управление ботами и митигацию DDoS в единый облачный сервис.
Как работает WAAP?
Web Application and API Protection (WAAP) — категория Gartner для облачных сервисов, объединяющих четыре столпа защиты приложений на границе: WAF, защиту API, управление ботами и митигацию DDoS. В отличие от классического WAF, WAAP понимает современные архитектуры (JSON, GraphQL, микросервисы, мобильные клиенты) и относится к API как к равноправному активу: обнаруживает их, валидирует схемы и выявляет злоупотребления. WAAP обычно поставляется CDN/edge-провайдерами (Cloudflare, Akamai, AWS, Fastly, Imperva), поэтому политики применяются близко к пользователю с низкой задержкой. Это ключевой компонент защиты публичных API и SPA от OWASP Top 10, OWASP API Top 10 и автоматизированных атак.
Как защититься от WAAP?
Защита от WAAP обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия WAAP?
Распространённые альтернативные названия: Защита веб-приложений и API, Облачный WAF/WAAP.
● Связанные термины
- network-security№ 291
Митигация DDoS
Митигация DDoS — это набор техник и сервисов, которые поглощают, фильтруют и перенаправляют распределённые атаки отказа в обслуживании до того, как они исчерпают сеть, инфраструктуру или приложение жертвы.
- network-security№ 904
Ограничение частоты запросов
Rate limiting ограничивает количество запросов, которые идентификатор (IP, пользователь, API-ключ или токен) может выполнить за интервал времени, защищая API и приложения от злоупотреблений, скрейпинга и подбора паролей.
- network-security№ 118
Управление ботами
Управление ботами — это выявление автоматизированного трафика и различение полезных ботов и вредоносных с последующим разрешением, проверкой или блокированием.
- network-security№ 151
Безопасность CDN
Безопасность CDN использует глобальный edge сети доставки контента — с терминированием TLS близко к пользователю — для DDoS-защиты, WAF, управления ботами и контроля TLS-гигиены.
- appsec№ 052
Безопасность API
Дисциплина проектирования, разработки и эксплуатации API так, чтобы аутентификация, авторизация, выдача данных и устойчивость к злоупотреблениям выдерживали атаки.
- compliance№ 781
OWASP Top 10
Информационный документ OWASP, перечисляющий наиболее критические риски безопасности веб-приложений и обновляемый по реальным данным о уязвимостях.
● См. также
- № 969SASE