Incapsula 是一家专注于提供安全 CDN 服务的公司,以 DDoS 缓解方案与 Web 应用安全而闻名。最近也开始动作频繁,忙于在安全领域布局,它是否能走出 CDN 市场,在更大的领域开疆辟土?
这家公司成立至今已经8年了,其中也经历了很多的兼并与扩张,在业务上加入了很多新的功能,同时也开发了一些新的安全产品。
最近,Incapsula 又悄悄开始了它的网络扩张——它在亚洲的新德里和孟买建立了新的数据中心。
兼并,赞誉与扩张
在介绍 Incapsula 的服务之前,笔者想简单介绍下这家公司。
Imperva 在2014年收购了 Incapsula ,而前者是在 Web 应用安全领域的权威性机构,连续四年在魔力象限上名列前茅。
此次兼并加强了 Incapsula 安全上面的实力,同时其基于云的 WAF (Web应用防护系统)也得到了魔力象限的分析师的认可。同时,Forrester Wave 表示,其 DDoS 缓解方案在业界也处于领先位置。
而更加令人惊讶的则是 Incapsula 的高速成长能力。
最开始关注 Incapsula 的时候,它才只有几千个用户,而现在再看,它已成为服务众多知名机构的大平台,它的客户包括一些大的比特币交易平台(比特币中国,Bitstamp & Unocoin ),电商平台( KickUSA ),和知名的 SaaS 公司(Moz)。
时至今日,Incapsula 服务已覆盖全球 160000 个机构。
Incapsula 的服务质量如何?
Incapsula 凭借资源和快速崛起上的优势,过去5年内在技术上斥巨金,来巩固传统业务领域,并尝试新的方向,如解决客户的非安全需求。
新的 DDoS 缓解方案
Incapsula 一直在 DDoS 缓解方案上有所建树,凭借技术上的优势,它的许多新业务也都配置了这项“旗舰”技术。
当我们第一次注意到它的时候,它就已经可以防御网络层和应用层上的 DDoS 攻击了。
而现在,Incapsula 已经可以对 DNS 服务提供 DDoS 保护了。同时还提供一个支持 BGP 协议的 DDoS 缓解方案以补充其 CDN 服务产品线。除了 Web 应用程序之外,该解决方案还可以对其他的在线服务进行保护。(如电子邮件服务器,FTP 等)
随着攻击规模和需求的增加,Incapsula 也将可以处理的流量速率提升到了 3.5 Tbps 。
而其中最有趣的缓解方案就是针对个人 IP 的 DDoS 保护。
通常,这种保护仅适用于使用 C 类地址的公司。然而 Incapsula 还是聪明地解决了这个问题。对那些不拥有子网,但仍被 DDoS 攻击的中小企业来说,这不失为一个好的选择。
一个C类IP地址由3字节的网络地址和1字节的主机地址组成,网络地址的最高位必须是“110”。 范围从192.0.0.0到223.255.255.255
凭借最新的技术,Incapsula 可以缓解那些高强度的攻击,其中包括 650 gbps 的DDoS 洪水攻击,持续54小时对美国知名大学进行攻击。
这还是比较突出的例子,我们还可以在总体上来看 Incapsula 的防御能力:
2017 年第一季度,Incapsula 平均每周减少了 266 次网络层攻击和1099次应用层攻击,总共加起来超过了17500次。
性能与稳定性
除了这些 DDoS 缓解方案,以及 Imperva 云上服务—— WAF 的助力,Incapsula 对其他产品线上的产品也并没有放松,产品的可靠性与性能也都有提升。
他们的负载平衡同样很有亮点,这个基于云的负载平衡可以为数据中心和数据中心之间数据传递提供负载管理。
该服务并不依赖存活时间(TTL),所以路由可以很快重新定向。此外,它使用的流量分发技术要强过大多数竞争对手。
具体来说,它能根据每个终端服务器上的实际进程请求量和其故障恢复的能力,来分发负载。
对于那些经营多个数据中心并需要购买多个服务和设备的组织,其基于订阅的付费模式还是很实惠的。性能方面, Incapsula 的 CDN 产品经过了大量调控和优化,提供了基于资源类型和文件位置的精细化缓存控制策略,并且可以实时清除缓存——这也是许多 CDN 平台共同面临的问题。
当然还有其他的特性,比如 Incapsula 的应用控制引擎,它可以通过自定义的方式管理应用交付。这些大量的自定义优化方案,对那些又大又复杂的站点无疑是好消息。
专注于安全的应用交付平台
如果说五年前,可以将 Incapsula 形容成一家基于 WAF 的CDN 服务公司,并顺带提供一些 DDoS 解决方案的话,那现在这么形容它已经明显不合适了。
Incapsula 不仅提供应用交互服务,还推出了很多新的特性功能,它也逐渐演变成了一个全面的应用交付平台,将安全性,性能,可用性融合在一起。
话说回来,Incapsula 还是一个 to B 的服务公司,如果你要选择市场上免费 CDN 的话,你可能会有其他更好的选择。
对比 CloudFlare ,Incapsula 拥有更精细化的安全防御策略
Incapsula 开始从 CDN 起家,很难抛下与 CloudFlare 对比。
面向人群
2014 年,CloudFlare 向市场推出了免费的 CDN 服务,主要面向个人用户,同时也向企业提供解决方案。而 Incapsula 的产品主要给面向企业,强调网站安全性和高可用性。
数据中心
对于 CDN 服务来说,数据中心的数量起到了至关重要的作用。
Incapsula 的数据中心有 38 个:
CloudFlare 数据中心有 117 个:
从图中我们可以知道,CloudFlare 在硬件布局方面要强于 Incapsula 。
安全防护
两家公司在安全方面做的都还可以,比如都可以对 DNS 提供支持;都可以防范网络层和应用层的 DDoS 攻击;都有自己的 Web 应用防火墙。
CloudFlare
CloudFlare 基于其强大的功能,简单透明的定价,和易于使用的界面,迅速成为世界领先的安全公司,虽然 CloudFlare 有很多优点,但同时也有很多缺点。
最主要的一个问题就是,CloudFlare 无法提供可以精细化操控的安全策略。比如,他们表示自己的 Web 应用程序防火墙会自动缓解百分之九十的应用层攻击,而无需用户参与。这点很棒,它可以让那些规模不大的公司也可以保护他们自己的网站,而不需要拥有自己安全工程师。但据他们所说,还是会有 10 % 的恶意流量流入网站。
在这些恶意流量进入的时候,客户可以采用更加严格的“正在攻击”模式,这样可以提升防御强度,但同时也会大大降低网站的性能,并可能会阻止网站的正常流量。
CloudFlare 提供的这种防御策略,对中小型企业很合适,但对那些想在网络安全性上有更精确,更好控制的用户,可能会有别的更好的选择。
Incapsula
谁也无法否认 Incapsula 的高速成长能力,他们的产品是全功能的,一切功能都可以定制,而不使用现有的规则模式(如 ModSecurity )。他们也表示,自己的专利技术要比 OWASP 这些开源技术要更好,尽管这很难证实。
Incapsula 从 CDN 产品起家,除了上文提到过的数据中心;WAF;bot保护;缓存和负载平衡以外,他们还提供许多高级功能,如 bot 缓解方案,IP 可信任数据库,速度限制。他们还允许客户实时配置并部署自己的安全规则,对安全策略经行更精细化的控制。
敢于突围的野心
从 Incapsula 最近的动作与市场布局中,我们不难看出,这并不是一家墨守成规的公司,可以及时根据市场需求调整方向,推出自己的拳头产品。在 CDN 市场中,从来不缺竞争对手,Akamai,Version,Amazon,CloudFlare 都在这片红海中抢占市场,而 Incapsula 并没有着力于大家都在关注的点上,而是另辟蹊径,在精细化定制方面发力,不得不说这是一个很明智的做法,同样我们也可以看到 Incapsula 在其他非安全领域的布局,将野心放在了更大的市场上。
