Gartner:2017年Web应用防火墙魔力象限
分析师:Jeremy D'Hoinne、Adam Hils和Claudio Neiva
摘要:Web应用防火墙(WAF)市场在壮大,这归因于企业纷纷采用基于云的WAF服务。企业安全团队应利用本研究报告,帮助评估WAF在满足数据隐私需求的同时,如何能够提供又易于使用和管理的更高安全性。
战略性规划假设
到2020年,独立的WAF硬件设备在新部署的WAF中所占的比例将从如今的40%减少到不足20%。
到2020年,面向公众的Web中50%以上将受到基于云的WAF服务平台的保护,这种服务平台结合CDN、分布式拒绝服务攻击(DDoS)保护、僵尸缓解服务和WAF,而如今这个比例还不到20%。
市场定义/描述
Web应用防火墙(WAF)市场得益于客户在本地部署或远程部署公共和内部的Web应用后需要保护它们,本地部署即on-premises,而远程部署分托管式、基于云或XX即服务。WAF可以保护Web应用和API远离各种攻击,尤其包括注入攻击和应用层拒绝服务攻击(DoS)。它们不仅应该提供基于特征的防护,还应该支持主动安全模型及/或异常检测技术。
WAF通常部署在Web服务器的前面,旨在保护Web应用远离内外攻击、监视和控制对Web应用的访问,以及收集访问日志用于合规/审计和分析。WAF最常采用嵌入式部署,作为一种反向代理系统,因为过去那是执行深入检测工作的唯一途径。如今存在其他部署模式,比如透明代理或网桥。一些WAF还可以采用带外部署模式(即OOB或镜像模式),因而可处理整路的网络流量。并非每一项功能特性在所有这些部署模式下都可以发挥作用;对许多企业组织而言,反向代理是最流行的方案。近些年来,Web应用加大了使用传输层安全(TLS)加密的力度――基于需要嵌入式拦截流量(中间人)才能解密的密码套件(cipher suite),因而减少了OOB部署的数量。
近些年来,对于越来越多的企业而言,由厂商直接作为基于云的服务来交付的WAF(基于云的WAF服务)已成为一种更流行的方案,由最初的目标群:中型企业扩大到更广泛的企业。基于云的WAF服务将基于云的部署与订阅模式结合起来。客户还可能为基于云的WAF服务选择厂商的托管服务,或者因它是解决方案的一个必备部分而被迫使用它。一些厂商已决定充分利用现有的WAF解决方案,重新包装成SaaS。这让厂商得以更迅速地向客户提供基于云的WAF服务,它们可以利用现有的功能特性,与基于云的云原生WAF服务区别开来。这种方法存在的困难之一就是简化管理和监视控制台,以达到客户的预期要求。
基于云的WAF服务一开始就立足于多租户、基于云,从长远来看它可以避免对遗留代码进行成本高昂的维护。它还提供了竞争优势,因为发布周期更短,还可以迅速实施创新功能。如果用户使用独立开发的基于云的WAF服务,他们面临的主要挑战之一是,缺少统一的管理控制台来支持混合场景。
Gartner就WAF的采用方面与客户进行交流时注意到,客户偶尔将WAF与网络防火墙上的应用控制功能(应用感知)相混淆。WAF的主要好处就是可以防范企业开发的Web应用代码中“自己造成的”安全漏洞,并且防范现成Web应用软件中的安全漏洞。这些安全漏洞不然无法得到主要防范已知安全漏洞的其他技术的保护。针对这些企业应用的攻击大多数来自外部攻击者。
该魔力象限包括部署在Web应用的外面,并不直接整合在Web服务器上的WAF:
专门定制的物理、虚拟或软件设备
嵌入在应用交付控制器(ADC)中的WAF模块
基于云的WAF服务,包括嵌入在更庞大的平台(比如内容分发网络即CDN)中的WAF模块
基础设施即服务(IaaS)平台上的虚拟设备,以及IaaS提供商提供的WAF服务
API网关、僵尸管理(包括坏僵尸缓解和好僵尸白名单机制)以及运行时应用自我保护(RASP)是WAF市场的毗邻产品,可能在与WAF争夺同样的应用安全预算。这激励WAF厂商在合适的时候从这些毗邻市场添加相关功能;比如说,基于云的WAF服务常常结合Web应用安全和分布式拒绝服务(DDoS)防护及CDN。WAF能够与其他企业安全技术整合起来,比如应用安全测试(AST)、数据库监视或安全信息及事件管理(SIEM),这种功能支持其在企业市场有强劲的表现。WAF与ADC、CDN或DdoS缓解云服务等其他技术整合起来,带来了独特好处的同时也带来了独特挑战。然而,说到选购Web应用安全技术,本市场评估更侧重于顾客的安全要求。这尤其包括WAF技术在以下几方面的表现:
最大限度地提高已知和未知威胁的检测和捕获率
最大限度地减少误报,并且灵活适应不断变化的Web应用
借助易于使用和影响最小的优点,确保得到更广泛的采用
使事件响应工作流程实现自动化,帮助Web应用安全分析员
保护面向公众和内部使用的Web应用及API
尤其是,Gartner认真分析了这些功能和创新,看看它们能否提升Web应用的安全性,而不是仅限于像网络防火墙、入侵检测系统(IPS)以及开源/免费WAF(比如ModSecurity)通过利用普通特征规则集那样来确保安全。
2017年Web应用防火墙魔力象限:
2016年Web应用防火墙魔力象限:
2015年Web应用防火墙魔力象限:
2014年Web应用防火墙魔力象限:
新增和跌出的厂商
随着市场不断变化,我们审查并调整了魔力象限的入围标准。由于这番调整,任何魔力象限中的厂商组合可能会随着时间的推移而变化。一家厂商今年出现在魔力象限上、下一年消失,这未必表明我们改变了对这家厂商的看法。这可能体现了市场发生了变化、评估标准发生了变化,或者该厂商的重心发生了变化。
新增:
新增的厂商有亚马逊网络服务(AWS)、Instart Logic和Venustech。
DenyAll已被Rohde & Schwarz Cybersecurity收购。
跌出:
AdNovum、Trustwave和United Security Providers这三家厂商未满足今年最新版的入围标准。
DenyAll已被Rohde & Schwarz Cybersecurity收购。
相关阅读:
Gartner:2016年企业网络防火墙魔力象限|「云头条」
银行买不起防火墙 用二手交换机 被黑客轻松偷走8000万美元