Современные реалии таковы, что не каждый бизнес может себе позволить сайт, особенно стартующий бизнес. Поэтому выгодно воспользоваться конструктором сайтов, например filandor. Запуск сайта через несколько минут.
Этот пост также доступен на 简体中文, 日本語, Deutsch, Français и Español.
Gartner признал Cloudflare лидером в отчете Gartner® Magic Quadrant™ для защиты веб-приложений и API (WAAP) за 2022 г., в котором оценивались 11 поставщиков на предмет их «способности выполнять» и «полноты видения».
Вы можете зарегистрироваться для получения бесплатной копии отчета здесь.
Мы считаем, что это достижение подчеркивает нашу неизменную приверженность и инвестиции в эту область, поскольку мы стремимся предоставлять более качественные и эффективные решения для обеспечения безопасности для наших пользователей и клиентов.
Обеспечение безопасности приложений
Благодаря тому, что глобальная сеть Cloudflare обрабатывает более 36 миллионов HTTP-запросов в секунду, мы получаем беспрецедентную информацию о сетевых шаблонах и векторах атак. Эта шкала позволяет нам эффективно отличать чистый трафик от вредоносного, в результате чего примерно 1 из каждых 10 HTTP-запросов, проксируемых Cloudflare, смягчается на периферии нашим портфолио WAAP.
Одной видимости недостаточно, и по мере появления новых вариантов использования и шаблонов мы инвестируем в исследования и разработку новых продуктов. Например, трафик API растет (55%+ от общего трафика), и мы не ожидаем, что эта тенденция замедлится. Чтобы помочь клиентам справиться с этими новыми рабочими нагрузками, наш шлюз API основан на нашем WAF, чтобы обеспечить лучшую видимость и смягчение последствий для хорошо структурированного трафика API, для которого мы наблюдали разные профили атак по сравнению со стандартными веб-приложениями.
Мы считаем, что наши постоянные инвестиции в безопасность приложений помогли нам закрепиться в этой области, и мы хотели бы поблагодарить Gartner за признание.
Облачный WAAP
В Cloudflare мы создали несколько функций, которые подпадают под защиту веб-приложений и API (WAAP).
Защита и смягчение DDoS-атак
Наша сеть, охватывающая более 275 городов в более чем 100 странах, является основой нашей платформы и основным компонентом, который позволяет нам сдерживать DDoS-атаки любого масштаба.
Чтобы помочь в этом, наша сеть преднамеренно является произвольной и объявляет одни и те же IP-адреса из всех местоположений, что позволяет нам «разделять» входящий трафик на управляемые фрагменты, которые каждое местоположение может легко обработать, и это особенно важно при смягчении больших объемов распределенного отказа. сервисных (DDoS) атак.
Система разработана таким образом, чтобы практически не требовать настройки, а также быть «всегда включенной», обеспечивая мгновенное подавление атак. Добавьте к этому очень умное программное обеспечение, такое как наше новое средство защиты от атак с учетом местоположения, и DDoS-атаки станут решенной проблемой.
Для клиентов с очень специфическими шаблонами трафика полная настройка наших управляемых правил DDoS осуществляется одним щелчком мыши.
Брандмауэр веб-приложений
Наш WAF является основным компонентом безопасности наших приложений и гарантирует, что хакерам и сканерам уязвимостей будет сложно найти потенциальные уязвимости в веб-приложениях.
Это очень важно, когда уязвимости нулевого дня становятся общедоступными, поскольку мы видели, как злоумышленники пытались использовать новые векторы в течение нескольких часов после того, как они стали общедоступными. Log4J и совсем недавно Confluence CVE — это всего лишь два примера, где мы наблюдали такое поведение. Вот почему наш WAF также поддерживается командой экспертов по безопасности, которые постоянно отслеживают и разрабатывают/улучшают сигнатуры, чтобы гарантировать, что мы «покупаем» драгоценное время для наших клиентов, чтобы при необходимости укреплять и исправлять свои серверные системы. Кроме того, и в дополнение к сигнатурам, наша система машинного обучения WAF классифицирует каждый запрос, обеспечивая гораздо более широкое представление о шаблонах трафика.
Наш WAF поставляется с множеством расширенных функций, таких как проверка утечек учетных данных, расширенная аналитика, оповещения и ведение журнала полезной нагрузки.
Управление ботами
Не секрет, что большая часть веб-трафика автоматизирована, и хотя не вся автоматизация плоха, некоторые из них не нужны и могут быть вредоносными.
Наш продукт для управления ботами работает параллельно с нашим WAF и оценивает каждый запрос с вероятностью того, что он был сгенерирован ботом, что позволяет вам легко фильтровать нежелательный трафик, развертывая пользовательское правило WAF, и все это подкрепляется мощной аналитикой. Мы упрощаем эту задачу, поддерживая список проверенных ботов, которые можно использовать для дальнейшего улучшения политики безопасности.
Если вы хотите заблокировать автоматический трафик, управляемая задача Cloudflare гарантирует, что только боты получат проблемы, не влияя на опыт реальных пользователей.
Шлюз API
Трафик API по определению очень хорошо структурирован относительно стандартных веб-страниц, потребляемых браузерами. В то же время API, как правило, являются более близкими абстракциями к серверным базам данных и службам, что приводит к повышенному вниманию со стороны злоумышленников и часто остается незамеченным даже для групп внутренней безопасности (теневые API).
Шлюз API, который можно наложить поверх нашего WAF, помогает вам обнаруживать конечные точки API, обслуживаемые вашей инфраструктурой, а также обнаруживать потенциальные аномалии в потоках трафика, которые могут указывать на компрометацию, как с объемной, так и с последовательной точки зрения.
Природа API также позволяет API Gateway гораздо проще обеспечивать положительную модель безопасности, в отличие от нашего WAF: разрешать только заведомо хороший трафик и блокировать все остальное. Клиенты могут легко использовать защиту схемы и взаимную аутентификацию TLS (mTLS).
Страничный щит
Атаки, которые напрямую используют среду браузера, могут какое-то время оставаться незамеченными, поскольку они не обязательно требуют компрометации внутреннего приложения. Например, если какая-либо сторонняя библиотека JavaScript, используемая веб-приложением, ведет себя злонамеренно, администраторам и пользователям приложения может быть все равно, в то время как данные кредитной карты утекают на стороннюю конечную точку, контролируемую злоумышленником. Это общий вектор для Magecart, одна из многих атак безопасности на стороне клиента.
Page Shield обеспечивает безопасность на стороне клиента, обеспечивая активный мониторинг сторонних библиотек и предупреждая владельцев приложений всякий раз, когда сторонние активы проявляют вредоносную активность. Он использует как общедоступные стандарты, такие как политики безопасности контента (CSP), так и пользовательские классификаторы для обеспечения охвата.
Page Shield, как и другие наши продукты WAAP, полностью интегрирован в платформу Cloudflare и требует включения одним щелчком мыши.
Центр безопасности
Новый Центр безопасности Cloudflare является домом для портфолио WAAP. Единое место, где специалисты по безопасности могут получить широкое представление о сетевых и инфраструктурных активах, защищенных Cloudflare.
В будущем мы планируем, что Центр безопасности станет отправной точкой для криминалистики и анализа, что позволит вам также использовать аналитику угроз Cloudflare при расследовании инцидентов.
Преимущество Cloudflare
Наш портфель WAAP поставляется с единой горизонтальной платформы, что позволяет вам использовать все функции безопасности без дополнительных развертываний. Кроме того, Cloudflare полностью управляет масштабированием, обслуживанием и обновлениями, что позволяет вам сосредоточиться на обеспечении бизнес-ценности вашего приложения.
Это применимо даже за пределами WAAP, поскольку, хотя мы начали создавать продукты и услуги для веб-приложений, наше положение в сети позволяет нам защищать все, что связано с Интернетом, включая рабочие группы, офисы и внутренние приложения. Все с одной единой платформы. Наше портфолио Zero Trust теперь является неотъемлемой частью нашего бизнеса, и клиенты WAAP могут начать использовать нашу границу службы безопасного доступа (SASE) всего несколькими щелчками мыши.
Если вы хотите укрепить свою систему безопасности, как с точки зрения управления, так и с точки зрения бюджета, группы служб приложений могут использовать ту же платформу, что и внутренние группы ИТ-служб, для защиты персонала и внутренних сетей.
Непрерывные инновации
Мы не создавали портфолио WAAP в одночасье, и только за последний год мы выпустили более пяти основных выпусков продуктов для обеспечения безопасности портфолио WAAP. Чтобы продемонстрировать нашу скорость инноваций, вот подборка наших лучших решений:
- Защита схемы API Shield: традиционные подходы WAF на основе подписи (негативная модель безопасности) не всегда хорошо работают с хорошо структурированными данными, такими как трафик API. Учитывая быстрый рост трафика API в сети, мы создали новый инкрементный продукт, который позволяет вам применять схемы API непосредственно на границе, используя позитивную модель безопасности: пропускайте только правильно сформированные данные на исходные веб-серверы;
- Обнаружение злоупотреблений API: дополнение к защите схемы API, обнаружение злоупотреблений API предупреждает вас всякий раз, когда на ваших конечных точках API обнаруживаются аномалии. Они могут быть вызваны необычными потоками трафика или шаблонами, которые не соответствуют нормальной активности трафика;
- Наш новый брандмауэр веб-приложений: построенный на основе нашего нового ядра Edge Rules Engine, основной брандмауэр веб-приложений был полностью переработан, от внутренних компонентов ядра до пользовательского интерфейса. Лучшая производительность с точки зрения задержки и эффективности при блокировании вредоносных полезных нагрузок, а также совершенно новые возможности, включая, помимо прочего, открытые проверки учетных данных, конфигурации для всей учетной записи и ведение журнала полезных данных;
- Настраиваемые управляемые правила DDoS: чтобы обеспечить дополнительную гибкость конфигурации, мы начали раскрывать некоторые из наших внутренних управляемых правил смягчения последствий DDoS для пользовательских конфигураций, чтобы еще больше уменьшить количество ложных срабатываний и позволить клиентам увеличивать пороги / обнаружения по мере необходимости;
- Центр безопасности: представление Cloudflare об инфраструктуре и сетевых ресурсах, а также оповещения и уведомления о пропущенных конфигурациях и потенциальных проблемах безопасности;
- Page Shield: с учетом растущего спроса со стороны клиентов и увеличения количества векторов атак, ориентированных на среду браузера конечного пользователя, Page Shield помогает обнаруживать случаи, когда вредоносный код JavaScript может проникнуть в код вашего приложения;
- Шлюз API: полное управление API, включая маршрутизацию непосредственно с границы Cloudflare, со встроенной безопасностью API, включая шифрование и взаимную аутентификацию TLS (mTLS);
- Машинное обучение WAF: в дополнение к нашим наборам управляемых правил WAF, наш новый механизм ML WAF оценивает каждый отдельный запрос от 1 (чистый) до 99 (вредоносный), предоставляя вам дополнительную информацию о действительных и недействительных вредоносных полезных нагрузках, повышая нашу способность обнаруживать целевые атаки и сканирования вашего приложения;
С нетерпением жду
Наша дорожная карта содержит как новые функции безопасности приложений, так и улучшения существующих систем. По мере того, как мы узнаем больше об Интернете, мы обнаруживаем, что лучше подготовлены для обеспечения безопасности ваших приложений. Оставайтесь с нами, чтобы узнать больше.
Gartner, «Магический квадрант для защиты веб-приложений и API», аналитики: Джереми Д’Уанн, Раджприт Каур, Джон Уоттс, Адам Хилс, 30 августа 2022 г.
Gartner и Magic Quadrant являются зарегистрированными товарными знаками Gartner, Inc. и/или ее дочерних компаний в США и других странах и используются здесь с разрешения. Все права защищены.
Gartner не поддерживает каких-либо поставщиков, продукты или услуги, представленные в ее исследовательских публикациях, и не советует пользователям технологий выбирать только тех поставщиков, которые имеют самые высокие рейтинги или другие обозначения.
Публикации исследований Gartner состоят из мнений исследовательской организации Gartner и не должны рассматриваться как констатация фактов. Gartner отказывается от всех гарантий, явных или подразумеваемых, в отношении этого исследования, включая любые гарантии товарного состояния или пригодности для определенной цели.
