作者:Jeremy D’Hoinne、Adam Hils、Claudio Neiva和Rajpreet Kaur
由於企業紛紛採用雲Web應用程式和API保護服務,Web應用防火牆(WAF)市場不斷增長。網路和應用安全負責人需要評估WAF如何在滿足資料隱私需求的同時,提供易於使用和管理的更高安全性。
- 到2022年,Web應用防火牆(WAF)硬體裝置在新部署的WAF中所佔的比例將不到10%,比今天的30%大幅下降。
- 到2023年,30%以上面向公眾的Web應用程式和API將受到雲Web應用程式和API保護(WAAP)服務的保護,WAAP服務結合了分散式拒絕服務(DDoS)防禦、機器人程式緩解(bot mitigation)、API保護和WAF。這比今天的不到10%明顯增長。
- 到2024年,為生產環境中的Web應用程式實施多雲策略的大多數企業組織將僅使用雲WAAP服務。
- 到2024年,結合API管理閘道器、WAF和機器人管理功能的更廣泛的雲Web應用安全平臺將保護20%面向公眾的Web API。這比今天的不足5%大幅增長。
客戶需要保護公共和內部Web應用程式,因此推動WAF市場發展。WAF可保護Web應用程式和API免受各種攻擊,包括自動化攻擊(機器人程式)、注入攻擊和應用程式層拒絕服務(DoS)。它們應提供基於特徵的防護,還應支援主動安全模型(自動化白名單技術)及/或異常檢測。
部署WAF以保護Web應用程式免受內外攻擊、監控和驗證對Web應用程式的訪問,並收集訪問日誌用於合規性/審計和分析。WAF以物理裝置或虛擬裝置的形式存在,日益從雲端來交付,作為雲Web應用程式和API保護服務(比如雲WAAP服務)。WAF最常以嵌入(in-line)方式加以部署,部署成反向代理。這是執行全面檢查和策略執行的最簡單方法。其他部署方案包括反向代理和負載均衡系統上的WAF外掛,或帶外部署。有意用作反向代理的雲WAAP服務大行其道,以及採用需要嵌入式流量攔截(比如中間人攻擊流量)進行解密的最新傳輸層安全性(TLS)套件,加大了使用反向代理的力度。
Gartner將雲WAAP服務定義為第一批雲WAF服務的進化版。雲WAAP服務將通過雲交付的X即服務部署與訂閱模式結合起來。雲WAAP服務提供商可能提供託管服務;對於一些人來說,託管服務是此類產品的強制性元件。一些供應商決定充分利用其現有的WAF解決方案,重新包裝成SaaS。這讓供應商能夠更快地為客戶提供雲WAF服務,它們可以利用現有功能,與擁有更有限的保護功能集的雲原生WAF服務產品區別開來。這種做法的困難之一是簡化管理和監控控制檯——源自於滿足客戶在易用性方面預期的綜合WAF裝置功能集,而又不縮小安全範圍。強制性託管安全服務(MSS)常常是雲WAAP服務發展過程的中間步驟;在這個環節,產品是利用WAF裝置技術構建的。
從長遠來看,一開始面向多租戶、以云為中心而構建的雲WAAP服務避免了舊程式碼的昂貴維護。它們還提供了競爭優勢,釋出週期更短,可以迅速實施創新功能。一些企業組織選擇利用WAF裝置構建的雲WAAP服務,這麼做是為了獲得統一的管理和報告控制檯,或雲原生WAAP服務還沒有提供的高階功能(比如主動安全模型)。
該魔力象限包括在Web應用程式外面部署,沒有直接整合到Web伺服器上的WAF:
- 專用的物理裝置、虛擬裝置或軟體裝置;
- 嵌入在應用交付控制器(ADC)中的WAF模組;
- 雲WAAP服務,包括嵌入在大型雲平臺中的WAF模組,比如內容分發網路(CDN),以及直接從基礎設施即服務(IaaS)平臺提供商交付的雲WAF服務;
- IaaS平臺上可用的虛擬裝置以及IaaS提供商提供的WAF解決方案。
獨立的機器人程式緩解解決方案、API閘道器、專用API保護解決方案、執行時應用程式自我保護(RASP)是WAF市場的周邊產品,可能會爭奪同樣的安全預算。這促使WAF供應商在適當的時候新增來自這些市場的相關功能。比如說,雲WAF服務常常將Web應用程式安全與DDoS防護和CDN捆綁起來。WAF與其他企業安全技術整合的能力是支援WAF在企業市場獲得強大地位的一種能力,比如應用安全測試(AST)、Web訪問管理(WAM)或安全資訊及事件管理(SIEM)等技術。將WAF與ADC、CDN或DDoS緩解雲服務等其他技術整合起來有其自身的利弊。然而,說到Web應用程式安全,該市場評估報告更側重於買方的安全需求。這包括WAF技術如何:
- 最大限度地提高已知和未知威脅的檢測率和捕獲率;
- 最大限度地降低錯誤警報(即誤報),並適應不斷變化的Web應用程式;
- 將自動化流量與人類使用者區分開來,並對這兩類流量實行適當的控制;
- 確保通過易於使用和極小的效能影響提高採用率;
- 自動化事件響應工作流程,以協助Web應用程式安全分析員;
- 保護面向公眾、面向合作伙伴以及內部使用的Web應用程式和API。
Gartner認真分析了這些功能和創新,觀察它們的這種能力:通過充分利用通用特徵規則集,加強Web應用程式安全性,而不是僅限於網路防火牆、入侵防禦系統(IPS)和開源/免費WAF(比如ModSecurity)所實現的功能。
由於許多本地安全提供商、CDN和ADC可能採用ModSecurity引擎,並使用可用的規則集之一,如今市面上有大量的WAF解決方案。
Gartner的入圍和排除標準現包括要求從供應商所在國以外的市場獲得至少一定的收入,還要求雲WAF服務至少有一定數量的客戶。
這不可避免地導致一些規模較小或區域性更強的供應商被排除在外。
Gartner 2019 年 Web 應用防火牆魔力象限:
Gartner 2018 年 Web 應用防火牆魔力象限:
Gartner 2017 年 Web 應用防火牆魔力象限:
新增的供應商:阿里雲、Signal Sciences
- 思傑跌出魔力象限是由於現在要求供應商的雲WAF服務擁有的付費客戶的數量比過去更多。
- Ergon Informatik跌出象限是由於現在要求供應商提供雲WAF服務。
- Instart跌出象限緣於其WAF產品發生了變化。不再對它另外收費。
- Rohde & Schwarz Cybersecurity跌出象限是由於 Gartner 更新了入圍標準。
Gartner預測,2019年WAF市場總產值將達到9.49億美元,比2018年的總產值8.53億美元增長11.2%。綜觀全球,北美預計會成為最大的區域市場,達到4.25億美元,佔整個市場的45%。歐洲、中東和非洲(EMEA)將獲得2.95億美元的客戶支出,佔整個市場的31%。包括大中華區和日本在內的亞太地區將達到2.03億美元,佔全球市場的21%。拉美將達到2600萬美元,僅佔整個市場的3%。
Gartner與客戶討論WAF採用情況時,注意到網路防火牆上的應用控制功能(應用感知)方面偶爾存在認識不清。WAF的主要好處和差異化優勢是,為企業開發的Web應用程式程式碼中的漏洞提供保護,而不僅僅針對現成的Web應用程式軟體中的漏洞提供保護。這些“自己造成”的漏洞不然得不到主要防禦已知漏洞的其他技術的保護。針對這些企業應用程式的大多數攻擊來自外部攻擊者。
企業組織在構建更多的Web應用程式,它們已成為業務的核心。因此,安全負責人日益需要在執行時進行安全控制。Gartner發現,越來越多的客戶諮詢與WAF採購有關,更多的企業組織考慮針對WAF採用雲優先的方法。仍在執行本地應用程式的大企業開始新增與統一管理有關或更常見的是與事件響應統一流程有關的需求。
Gartner注意到考慮使用雲WAF服務的客戶和考慮使用WAF裝置的客戶期望不一樣:
- 尋找雲WAF服務的企業組織通常期望易於部署、易於操作的軟體包中擁有多項捆綁的功能,尤其是DDoS防護、機器人程式管理和CDN。它們日益要求安全控制更縱深、配置選項更精細化,但它們常常在部署WAF方面遇到時間上的壓力。
- 尋找WAF裝置(物理和虛擬裝置)的企業組織更有可能已經部署了一套裝置。它們對主動安全模型、先進安全功能以及事件響應工作流程中整合WAF寄予更高的期望。
Gartner繼續看到企業組織決定將部署選項作為第二步,比較雲WAF和WAF裝置各自的優缺點。
WAF裝置市場尚未消亡。遺留Web應用程式有一條長尾,一部分企業組織使用託管在雲基礎設施上的虛擬裝置,以此簡化管理和事件響應。然而Gartner的分析師觀察到,許多提供裝置和雲WAF服務的WAF供應商在確定路線圖的優先順序時,改而採用“雲WAF優先”的方法。依賴WAF裝置保護其應用程式和API的企業組織應該對路線圖承諾有更高的要求,因為這個細分市場在Gartner的《炒作週期》中已進入到實質生產的高峰期(Plateau of Productivity)。
為了反映最近的變化,今年的魔力象限對WAF提供者增加了一個要求,即必須提供雲WAF服務,使用該解決方案的客戶至少達到一定數量。由於這個要求,幾家供應商跌出了象限。
影響力僅限區域市場的知名供應商也跌出了這份WAF市場全球評估報告。由於亞太區包括一些比較大的WAF供應商,2019年會繼續有一份結合上下文的魔力象限。
雲Web應用程式和API保護服務成為更模組化的安全平臺
在“定義雲Web應用程式和API保護”中,Gartner建議:
安全負責人要適應Web應用程式和API威脅領域出現的變化,為此提高Web應用程式安全要求,要求供應商提供更全面的WAAP,而不僅限於傳統的WAF範圍和期望。
隨著更多的提供商加強這一能力:基於WAAP的四個核心原則(WAF、機器人程式緩解、DDoS防護和API保護)提供足夠好的防護,雲Web應用程式和API保護服務成為了現實。
在過去的12個月,WAF供應商在機器人程式緩解方面投入了更多的資金。機器人程式緩解供應商的收購應該會使這些提供商阻止惡意機器人程式的能力帶來全面的提升,包括Radware收購ShieldSquare、Imperva收購Distil Networks以及Barracuda收購Infisecure。機器人程式緩解方面的進展不僅限於收購,因為大多數提供商都試圖同時提升嵌入式功能。
API安全遵循類似的發展軌跡。它沒有得到足夠的服務,因為產品不太成熟,企業組織為發現新API的第一步而苦苦掙扎。在“API安全:保護API需要採取的措施”中,Gartner預測:
到2021年,90%擁有Web功能的應用程式因暴露的API而面臨的攻擊面將大於使用者介面(UI),比2019年的40%大幅增長。
更多的WAF供應商在提供API安全功能方面取得了進展,但是這方面還有很多工作要做。
Gartner的分析師與尋找解決方案以保護面向公眾的應用程式的企業組織交談時獲悉,現在總體上比過去更容易為更全面的Web應用程式安全找到業務理由,但更難證明有必要投入相關成本。一旦掌握了針對其他實施的控制措施的最佳實踐,客戶很重視能夠逐步啟用更多的控制措施,輕鬆新增新模組。
