WAAP
WAAP 是什么?
WAAPWAAP(Web 应用与 API 防护)是 WAF 的现代演进形态,在统一的云服务中集成 API 安全、机器人管理与 DDoS 防护。
Web 应用与 API 防护(WAAP)是 Gartner 用以描述云服务的术语,这类服务汇集应用边缘安全的四大支柱:Web 应用防火墙(WAF)、API 防护、机器人管理与 DDoS 缓解。相较于传统 WAF,WAAP 能理解现代应用架构(JSON、GraphQL、微服务、移动端),并将 API 视为一等公民资产 —— 进行发现、模式校验和滥用检测。WAAP 通常由 CDN/边缘厂商(Cloudflare、Akamai、AWS、Fastly、Imperva)交付,在靠近用户的边缘执行策略以保持低延迟。它是保护对外 API 与 SPA 免受 OWASP Top 10、OWASP API Top 10 以及自动化攻击的关键基础设施。
● 示例
- 01
WAAP 发现一处被遗忘的内部 API,并通过模式校验拦截对参数的滥用。
- 02
针对登录 API 的撞库攻击,通过限速与机器人管理予以缓解。
● 常见问题
WAAP 是什么?
WAAP(Web 应用与 API 防护)是 WAF 的现代演进形态,在统一的云服务中集成 API 安全、机器人管理与 DDoS 防护。 它属于网络安全的 网络安全 分类。
WAAP 是什么意思?
WAAP(Web 应用与 API 防护)是 WAF 的现代演进形态,在统一的云服务中集成 API 安全、机器人管理与 DDoS 防护。
WAAP 是如何工作的?
Web 应用与 API 防护(WAAP)是 Gartner 用以描述云服务的术语,这类服务汇集应用边缘安全的四大支柱:Web 应用防火墙(WAF)、API 防护、机器人管理与 DDoS 缓解。相较于传统 WAF,WAAP 能理解现代应用架构(JSON、GraphQL、微服务、移动端),并将 API 视为一等公民资产 —— 进行发现、模式校验和滥用检测。WAAP 通常由 CDN/边缘厂商(Cloudflare、Akamai、AWS、Fastly、Imperva)交付,在靠近用户的边缘执行策略以保持低延迟。它是保护对外 API 与 SPA 免受 OWASP Top 10、OWASP API Top 10 以及自动化攻击的关键基础设施。
如何防御 WAAP?
针对 WAAP 的防御通常结合技术控制与运营实践,详见上方完整定义。
WAAP 还有哪些其他名称?
常见的别称包括: Web 应用与 API 防护, 云 WAF/WAAP。
● 相关术语
- network-security№ 291
DDoS 缓解
DDoS 缓解是一套技术和服务,用于在分布式拒绝服务攻击耗尽目标的网络、基础设施或应用容量之前,吸收、过滤并重路由这些攻击流量。
- network-security№ 904
限速
限速对某个标识(IP、用户、API key 或令牌)在一段时间内的请求数量加以约束,用以保护 API 和应用免受滥用、爬取和暴力破解。
- network-security№ 118
机器人管理
机器人管理是指识别自动化流量、区分善意机器人与恶意机器人,并据此分别放行、挑战或阻断。
- network-security№ 151
CDN 安全
CDN 安全利用内容分发网络的全球边缘节点 —— 在贴近用户处终结 TLS —— 实施 DDoS 防护、WAF、机器人管理与 TLS 安全配置。
- appsec№ 052
API 安全
围绕 API 的设计、构建与运营,使其在受到攻击时仍能保持身份认证、授权、数据暴露与抗滥用能力的实践。
- compliance№ 781
OWASP Top 10
OWASP 发布的安全意识文件,列出 Web 应用最关键的安全风险,基于真实漏洞数据定期更新。
● 参见
- № 969SASE