全栈应用与API安全解决方案白皮书

内容 引言 04 传统定义的网络应用防火墙（WAF）05 挑战与传统的Web应用防火墙相关 06 设计原则 — 从WAF至WAAP 07 Akamai的WAAP方法10超出规则集M 10项超越速率限制的现代应用层DDoS防御措施M10 一站式综合防护解决方案11 自适应安全引擎 12 自适应威胁检测13 自动更新A13 测试框架以确保准确性14 自动自调谐15配置和自动化灵活性C15 在现实世界中验证16 集成现代化的保护措施我16 应用安全与DDoS防御18行为式DDoS引擎：其工作原理19 应用安全准确性21 客户声誉评分22 23恶意软件防护 24应用安全分析 25API发现与配置 机器人可见性和缓解措施27无可见性和缓解措施内置于App & API ProtectorB27 关键机器人功能28 不仅仅是一个WAF：Akamai解决方案的益处 29 威胁情报与检测30卡迈平台智能A30 威胁研究与事件响应31 风险研究T 31 事故响应我31 API威胁检测R 31 CVE保护32 全球分布式边缘平台 33可靠性和弹性R33 全球规模35 性能P35边缘平台助力防护36管理攻击支持37网络安全作战指挥中心（SOCC）S37 结论 引言 随着攻击面越来越大、越来越多样化，运营摩擦和成本不断增加，以及不断规避的多维度威胁，安全团队需要超越传统的Web应用防火墙（网络应用防火墙（WAF）).特别是，他们需要更多自动化工具来提高效率，以及更深入的应用和应用程序编程接口（API）生态系统保护。这些保护的现代术语是Web应用程序和API保护（）。WAAP). 精明的组织优先考虑其业务安全和顾客安全，要求在整个数字资产中全面防范多种威胁。除了保护应用程序免受已知、未知和零日攻击外，这些保护措施还包括： ••• API发现与保护机器人可见性和缓解措施易于集成的开发生命周期• 强健的DDoS防御• 可适应威胁检测• 自动化政策更新 本文讨论了传统的WAF技术，从WAF到WAAP的转变，以及不断演变的市场需求，这些需求推动了WAAP解决方案的发展。作为网络安全领域的知名领导者，Akamai公司专注于创新网络安全技术，以推动和保护在线用户的在线生活。 传统的WAF（Web应用防火墙）定义 一个传统的WAF位于终端用户和Web应用程序之间的流量流中间。WAF会检查通过其传输的未加密或加密的HTTP流量，以寻找由规则列表定义的任何攻击。 大多数Web应用防火墙（WAF）依赖于预定义的规则列表来识别恶意HTTP请求，这些请求夹杂在合法的HTTP流量中，以防御数千种可能的已知漏洞。此外，新的攻击向量或现有攻击向量的额外变化持续演变，并被威胁行为者所利用。这就是传统的WAF需要不断更新和调整其规则以适应合法流量特性，这些特性会根据每个应用程序而有所不同，并且会随时间而变化。 随着终端用户对保护和性能提出了更高要求，WAFs 已将范围扩大至包括分布式拒绝服务（DDoS）等相邻安全技术和服务。DDoS缓解、API安全性和机器人缓解功能。这种持续演变需要新的定义和新术语。 传统WAF面临的挑战 拥有WAF（Web应用防火墙）的组织往往声称它未能达到在有效性、管理简便性和对受保护的应用程序和API的影响方面的初始预期。由于检查数十亿个网页和API请求以检测恶意代码时常常出现的网络性能问题，WAF常常成为组织内部摩擦、性能下降以及因安全协议而导致的部署障碍的源头。 部分最显著的WAF（Web应用防火墙）部署挑战源于以下原因： •不准确检测和高误报率导致警报疲劳和额外风险一个 WAFs 依赖手动审查、调整和维护。 •缺乏细粒度控制导致粗略的拒绝策略，从而中断用户体验和业务流程。e •过时的威胁情报加剧了脆弱性。 •因限制和不灵活性导致的性能和覆盖范围下降。 •过于有限，无法保护数字扩展 传统的WAF（Web应用防火墙）是一种强大的安全工具。然而，它们往往会使组织面临运营痛点和无法缓解的风险，这些问题将在本文中予以解决。 寻求用WAAP方案更新其WAF技术的组织应确保该方案既能带来商业价值，又能提供强大的安全防护。从WAF到WAAP的转换将这种防护能力与功能、效率以及易用性相结合，以满足业务需求，不仅针对安全团队，也针对其他团队。 设计原则 — 从WAF到WAAP 由于传统的WAF产品侧重于终端用户规则创建，任何供应商都可以相对容易地构建一个WAF解决方案并将其推向市场，正如围绕开源Open Worldwide Application Security Project ModSecurity Core Rule Set构建的商业产品普遍存在所证明的那样（OWASP CRS). 然而，对于提供商来说，设计一个全面的企业级 Availability, Accessability and Resiliency (WAAP) 解决方案相当困难： •部署在在线环境中以保护应用程序和API，防止新漏洞出现。em • 紧跟现代应用开发实践 •提供同样强大的DDoS防御层、机器人缓解、API保护和客户端Web应用程序保护一个 随着Akamai接近我们WAAP解决方案的设计，我们相信它不应只是“足够好”。App & API Protector的创建旨在应对安全风险，同时让我们的客户组织专注于主要业务目标。作为我们设计的蓝图，我们认为一个理想的WAAP解决方案应提供： 有效安全 应用程序运行着企业的各个方面。对企业安全团队而言，确保它们免受恶意攻击是基础目标。安全团队面临着找到一种WAAP解决方案，该方案能够在WAAP解决方案中提供最优秀的检测功能。理想的网络安全工具优先考虑检测效果，因为这是WAAP解决方案最重要的方面，并且在零日漏洞、漏洞利用和通用漏洞和暴露（CVE）防御方面拥有卓越的记录，同时还拥有令人印象深刻的可用性历史。 精确度 安全团队需要在降低风险的同时，确保业务能够快速推进，找到恰当的平衡点。理想解决方案应具备自我调节机制，有助于减少误报，同时不损害最终用户体验和业务流程。 现代化保护措施 组织必须不断地（通常是手动地）更新防护措施以适应最新规则，以便应对发现的新漏洞。为了做到这一点，他们需要两项关键能力：能够获取攻击向量方面的最新情报，以及能够调整防御策略以应对灵活攻击的专业安全资源。理想的解决方案将是在威胁情报界处于领导地位，并提供能够简化跨整个防护领域的安全运营的能力。 适应性 威胁态势以极快的速度演变。随着人工智能驱动的攻击即将到来，安全团队在安全运营中需要比以往任何时候都更加高效。理想的WAAP解决方案将结合先进的自动化、机器学习和深度全球情报，自动提供更新，并给出点击即可实施的定制化规则修改建议。 能见度 传统的WAF解决方案通常提供源源不断的警报，并依赖于安全专业人员仔细分析每个警报，这会耗费内部资源。更有效的WAAP解决方案提供多解决方案的可视性和关于攻击的主动上下文，通过在警报发生时、地点和方式通知组织，以减轻资源负担。 可扩展性 一个规模不足以处理来流量量的解决方案可能轻易地成为瓶颈，增加网页延迟，并在负载下有断裂的潜在风险。一个有效的WAAP方法能够无缝且自动地根据随时间变化的流量需求和攻击进行扩展，提供连续的保护，而不会中断或降低性能。 合作 一个有效的安全解决方案需要能够集成到当前的系统中，可编程，易于使用，且无摩擦。理想的解决方案在安全团队和开发团队之间架起一座桥梁。 支持 在要求严格的安保事件中，组织常常因提供及时解决方案所需的技能和资源而感到力不从心。理想的解决方案将包含常规的托管服务选项，以及按需服务选项，这些选项能够提供针对常见场景的专业知识和缓解措施，包括活跃攻击、服务问题、员工流动、内部技能差距等。 带着这些设计原则，让我们探讨Akamai如何构建我们的领先WAAP解决方案。应用与API保护器从核心技术开始。我们的解决方案结合了许多安全产品于一体，全面解决应用安全、防御大规模DDoS攻击、保护整个环境中的API以及控制机器人流量等挑战。 Akamai的WAAP方法 超越规则集 随着市场从传统的WAF设计原则转向现代有效的WAAP安全解决方案，有效的检测和缓解技术仍然是最关注的焦点。 Akamai于2009年首次推出我们的Web应用防火墙（WAF），这是世界上第一个基于边缘的WAF。当时的网络安全厂商提供的WAF是基于静态规则集的检测基础。Akamai在当时通过构建一个名为Kona Rule Set的专有规则引擎进行差异化，该引擎结合了少量的灵活规则（而不是静态规则）与异常评分模型，以更好地解决攻击的准确性和可观察性。 2017年，Akamai推出了自动化攻击组，消除了组织需要不断使用Akamai管理的保护来配置和更新规则的必要性。自动化攻击组是一场革命，迅速在成千上万的活跃Akamai客户WAF策略中启用，以利用这种新方法。 Akamai持续优化其应用安全方法，通过2021年推出的App & API Protector，优先考虑结合应用和API保护，包括反机器人功能。这一WAAP解决方案旨在取代企业级和全球业务不断增长的Kona Site Defender WAF。App & API Protector进行了变化，但具体内容未提供。阿卡迈通过现代化Kona规则集技术，将其引入自适应安全引擎的方式来处理安全操作。 现代化应用层DDoS防御，超越速率限制 当谈及DDoS攻击时，速率限制是一种经过验证且有效的工具。然而，复杂层7 DDoS攻击、多向量攻击以及API的利用使得传统的DDoS防御努力保持同步变得异常困难。依赖于固定阈值和预定义签名的静态防御是反应性的且容易产生误报，尤其是在攻击者越来越多地将恶意流量与合法请求相混合的情况下。这就是Akamai改变了DDoS防御的方法，并引入了如URL保护和行为DDoS引擎等新创新的地方。 The行为式DDoS引擎这是一项尖端技术，新增至Akamai App & API Protector，成为其核心技术的组成部分之一。这些引擎共同提供前所未有的现代威胁防护，使Akamai成为WAAP领域的领导者。这种双引擎方法通过提供自动化更新、自我调优能力和情境感知检测，为用户带来无需手动干预的体验。 单一解决方案，全面保护 今天，随着无服务器边缘计算、基于微服务的架构、单页应用以及SaaS/IaaS/PaaS/FaaS方法的采用继续重塑应用安全，变革持续重新定义应用安全的实践。 为了保护复杂IT环境中的现代应用程序和API，Akamai对我们的应用程序安全技术进行了重构，采用了一种更适应性、灵活性和全面的方法。随着Akamai的WAAP解决方案从Web应用程序保护者（Web Application Protector）和Kona站点防御者（Kona Site Defender）迁移到应用与API保护者（App & API Protector），纳入了更多的安全功能和工具集。 App & API Protector 现在提供许多额外的安全增强功能，所有这些功能都可通过单个界面进行查看和控制。Akamai 的 WAAP 解决方案结合了： 1. 自适应安全引擎 2. 具有细粒度控制的网络安全应用 3. DDoS防御，包括高级第7层DDoS保护 4. API保护，包括发现和PII保护功能 5. 漏洞可见性和缓解能力 6. 一个全球规模、威胁情报和弹性的平台 自适应安全引擎 自适应安全引擎在机器学习（ML）、实时安全智能、网络安全专家和高级自动化交汇处提供下一代保护。作为Akamai的检测和防御核心技术，自适应安全引擎允许无手工干预的方式来保护整个Web应用程序和API资产。它还增加了Akamai从WAF到WAAP的进步，其中包括关联的安全解决方案，如机器人管理器、DDoS保护、DevOps集成等等。 自适应安全引擎的独特之处在于它能