编者按
新冠疫情带来全球网络、数字和产业信息化的巨大变革已经毋庸置疑。后疫情时代,整体网络安全在云上安全方向迅猛发展,快速成为未来发展的核心。不同于传统安全,云上安全很难一言蔽之,真正是“致广大而尽精微”。
面对2021年云上安全新形势,嘶吼安全产业研究院认为,现有云上安全提供商之间的竞合关系不应单纯局限于眼前的小格局,应该更多放在如何做大蛋糕,共赢市场的新格局上面。为此,嘶吼安全产业研究院出品《致广大 尽精微:云上安全白皮书 2021》,(PS:关注公众号“嘶吼专业版”,回复“云上安全白皮书2021”即可下载《致广大 尽精微:云上安全白皮书 2021》完整版。)在本白皮书中通过调研和专家访谈形式为甲方提供更多云上安全厂商及产品竞合视角,帮助甲方更好的选择产品,理解云上安全。
本专题为应用系统安全,注意:厂商产品展示顺序不涉及排名!
根据嘶吼安全产业研究院42份回收问卷数据显示,在应用系统安全(WAF)大类别下,对标竞品产品名称提及率第一梯队有阿里云Web应用防火墙、奇安信网站安全云防护系统、安恒明鉴网站安全监测平台、知道创宇创宇盾,第二梯队为云堤·网站安全专家、网宿Web应用防火墙、长亭雷池。
上图为应用系统安全竞合力云图,其中,红色圆代表对标竞品产品名称提及率第一梯队产品,黄色圆代表对标竞品产品名称提及率第二梯队产品。
本分析的云上应用安全更加侧重用户在网站/Web应用侧的云安全防护,其中,近5年开始逐步发展的当属云WAF。云WAF防护可对网站提供防护,与传统的硬件WAF或者软件WAF相比,其部署更为简单、成本更为低廉。根据中国互联网络信息中心(CNNIC)在京发布第47次《中国互联网络发展状况统计报告》显示,截至2020年12月,我国共有网站443万个,较比2019年497万个下降10.9%。从2017年后,虽然网站整体数量在持续下降,但刚性安全需求却在不断增长。云上应用安全产品目前成熟的趋势相对明显,主要体现在三化两多方面,即一体化、综合化、智能化;多场景、多适配。
让我们一起看下应用安全提供商从自身产品角度、典型客户及其服务年份展示的产品吧!
奇安信网站安全云防护系统(安域)
◼产品介绍
奇安信网站安全云防护系统(安域)是奇安信科技集团针对政府、金融、能源、运营商、企业、教育、医疗等行业企业客户提供的云端网站安全防护系统,为客户网站提供SaaS化的安全防护服务。根据网站的实际安全需求及客户网站当前现状,将奇安信的智能DNS解析能力、DDoS防护能力、Web应用攻击防护能力、CDN加速能力、安全运营能力以及统一的配置管理综合到同一安全防护体系中。结合遍布全国的防护节点,充分的储备带宽,形成超强的流量清洗能力。网站接入云防护系统后,为客户网站提供一层智能且强大的保护网。
◼典型客户
中国人民银行(2020);天津市人民政府(2021)
绿盟网站云防护服务
◼产品介绍
绿盟网站云防护服务(简称云WAF),是把绿盟王牌产品硬件WAF的防护功能,通过云服务(SaaS)的方式远程提供给被防护的客户,客户网站只需要变更DNS解析地址即可防护。同时,服务化后的“WAF”不再需要客户去维护和配置设备,服务自动完成站点的策略配置、故障迁移、规则库升级等运维工作,极大降低了客户的使用门槛。
◼典型客户
典型客户:安徽省政府(2019)、烟台文化旅游职业学院(2020)
深信服Web应用防火墙
◼产品介绍
深信服Web应用防火墙在Bot防护方面,基于主动验证的方式过滤大部分自动化机器人Bot流量,消除大多数泛在攻击,提升防扫描、防自动化攻击等效果。同时在Web攻击的检测上,深信服WAF基于攻防情报、智能语义引擎进行高效检测,可解决传统WAF安全产品易误报、漏报的问题,满足网站防通报、Web应用系统防护等需求。随着越来越多的业务云化,深信服WAF创新融入容器技术,可广泛交付各类公有云和私有云平台上,支持硬件、软件、SAAS多种贴合业务应用需求的交付方式。
◼典型客户
上海联合产权交易所(2021年)、央视国际网络(2021年)
腾讯安全 Web 应用防火墙
◼产品介绍
腾讯安全应用防火墙是一款基于AI的一站式Web安全防护解决方案。通过AI+规则双引擎识别并拦截恶意请求,有效防御OWASP TOP 10攻击和未知威胁,提高Web网站安全性。通过BOT行为管理,识别和分析网站访问会话,对抗爬虫、恶意BOT行为,保护网站核心业务安全和数据资产安全。
◼典型客户
家乐福、阅文集团
云堤·网站安全专家
◼产品介绍
“云堤·网站安全专家”面向各行业拥有独立对外网站的政企客户提供网站安全监测、网站安全防护服务。
网站安全监测:提供网站性能监测、脆弱性和内容安全检测服务。当发现访问异常、网站漏洞和不良信息时,及时告警,提供处置建议。
网站安全防护:提供高可靠、可定制的云WAF服务。有效防御各类Web攻击,避免数据泄露,保障网站业务安全可用。
通过运营商特有的云网协同的安全资源与防护能力,为客户的对外门户提供可靠、高效、便捷的安全服务,帮助客户提升网站公信力和安全防护能力。
◼典型客户
最高人民检察院(2019-2021)、伊利(2019-2021)
新华三Web应用防火墙
◼产品介绍
新华三Web应用防火墙是在多年的安全研究沉淀和服务实践经验的基础上开发的应用安全产品,该产品部署在用户的Web应用服务器前,对面向Web应用系统的攻击进行防御。不仅用于保护面向互联网的Web应用,还可以部署在内部Web应用服务器之前,对内部的业务访问进行访问控制和业务审计,防范来自内部的威胁。相较于传统的防火墙和入侵防御系统, Web应用防火墙更专注于Web应用自身的漏洞,主体防护应用层HTTP协议进行细粒度的WEB攻击防护,包括黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、漏洞扫描攻击等。同时还提供了SSL加速、抗DDoS、应用负载均衡、威胁情报中心等WEB应用安全模块,是一款多安全引擎、高性价比的WEB应用安全产品。
◼典型客户
安康市政务云、国家药监局云平台
四叶草安全网站动态防护系统
◼产品介绍
四叶草安全网站动态防护系统秉承公司以攻促防的理念,为网络安全实战攻防演习中防御方提供攻击方攻击前IP威胁主动防御,以攻击前发现攻击为目标,边界Web安全防御及基于零信任安全的自适应内网流量威胁分析三个层面的立体式防御体系,形成从事前防御、事中监测到事后攻击溯源的全流程防御理念。产品可用于攻防实战演习中防守方防御、企业单位日常安全防护、内网流量安全威胁分析等业务场景。
◼典型客户
中国人民银行征信中心(2020年)、中征动产(2020年)
UCloud Web 应用防火墙
◼产品介绍
Web应用防火墙(UCloud Web Application Firewalls),用于针对web网站的常见攻击进行监测和阻断。支持发现SQL注入、XSS跨站、CC等web攻击行为。可以为用户降低停机时间、篡改和数据失窃的风险,并隐藏源站,防止对源站的直接攻击。提供丰富的报表,告警接入,实时监控业务状态。满足合规监管要求。
◼典型客户
安信基金(2017年至今)
百度云安全应用防火墙 WAF
◼产品介绍
由国内最顶级Web安全专家组成的技术团队打造,为满足不同行业、不同规模的网站而自主研发的新一代WAF产品,以网站替身的形式为网站拦截各种SQL注入、XSS跨站、网站挂马、网页篡改等入侵攻击,并做到实时更新防护策略,第一时间防御各种0day漏洞,有效保护用户源站安全。
◼典型客户
度小满金融(2020年)
安全狗云御
◼产品介绍
作为新一代混合式Web应用防护系统,云御是一款新一代混合式Web防火墙产品,通过网络层过滤和主机应用层自保护(RASP)相结合的技术,既能够过滤传统常见的攻击又可以对异常变形和未知漏洞的高级攻击进行识别,达到双层纵深防御的效果。
◼典型客户
2020中国电子科技集团有限公司
山石网科vWAF
◼产品介绍
山石网科 Web 应用防火墙(WAF)是新一代专业 的Web 应用安全防护产品,在Web资产发现、漏洞评估、流量学习、威胁定位等方面全面应用智能分析和机器学习技术,可为主流的虚拟化环境及云平台提供虚拟化WAF,并支持产品的自动部署、安全功能的可视化编排,以及性能的弹性扩展,为用户提供随需应变的安全防护能力。
◼典型客户
苏州国际博览数据中心(2020年)
网宿Web应用防火墙
◼产品介绍
采用“智能规则库+AI”双引擎防御架构,提供针对OWASP Top10等各类常见Web应用安全风险的防护,同时可及时发现并防御新型Web攻击,避免网站服务器被恶意入侵导致的网站篡改、敏感数据泄露等问题,保障网站安全。
◼典型客户
国家税务总局(2019年至今)、欧莱雅(中国)有限公司(2019年至今)
光通天下睿盾云 Web 应用防火墙
◼产品介绍
光通天下睿盾云 Web 应用防火墙可对 SQL 注入、XSS 跨站脚本、常见Web 服务器插件漏洞等常见攻击进行防护,并可提供简洁友好的控制界面,实时查看攻击信息和事件日志,策略事件集中配置。此外,产品支持 173 个非标准端口,最大限度保障用户网站的安全性与可用性。
◼典型客户
上海理想信息产业(集团)有限公司(2020年)、南京易自助网络科技有限公司(2020年)
白山云Web安全加速
◼产品介绍
针对Web/API等在线业务提供一站式安全解决方案,以替身的攻防思想,基于大数据、AI技术和健壮的全球网络资源,有效解决在线业务的应用漏洞、黑客渗透、爬虫Bot、DDoS攻击等安全威胁,综合提升Web应用的内容安全性、服务可用性、业务稳定性。同时依托7*24全时值守的安全专家团队,进一步提高各类安全事件的应急响应能力,确保及时响应、有效响应,助力组织实现全方位安全能力建设。
◼典型客户
国务院办公厅(2019至今)、中国国际进口博览会(2018至今)
结束语
目前市面上云上应用安全系统相关产品较为丰富,定位各有不同,有主打综合牌、智能牌、服务牌、口碑牌、专业牌等。整体来说,云WAF产品相对步入半成熟阶段。嘶吼安全产业研究院认为,甲方客户在选购时可根据自己的企业特点、能给出的预算及核心诉求匹配重点企业试用后进行购买。切记,不是贵的就是好的,特别是对于云WAF这种部署相对简单且灵活的产品,需要根据预算来选出候选试用过后再进行确认购买。
PS:未入驻嘶吼官网应用系统安全产品列表的厂商可以通过以下链接进行材料提交:
https://www.4hou.com/atlas/be-atlas-request,或直接发送公司及应用系统相关安全产品宣传手册(PDF版本即可)至嘶吼分析师王盈邮箱:[email protected]
本文为嘶吼安全产业研究院分析师“Wylly”原创稿件,如若转载,请注明原文地址