8 月 7 日,Gartner 發布 2017 年度 Web 應用防火墻(WAF)魔力象限,這是 Gartner 自 2014 年之后連續第四年發布此類報告。報告中照例描述了全球 WAF 市場整體狀況,并對主要 WAF 廠商進行了詳細的優缺點分析。本年度的 WAF 廠商列表中,國內廠商綠盟和啟明星辰也在其中。不過,從詳情來看,這二者似乎并不占優勢,但有較好的發展潛力。
2017 年度全球 WAF 市場狀況及廠商表現如何?WAF 市場未來發展趨勢如何?企業能從報告中獲得哪些參考?請看下文對報告的重點摘錄內容。
摘要
WAF 全球市場規模不斷增長,主要是因為越來越多的企業采用基于云的 WAF 服務。企業安全團隊可以合理利用這份研究報告,用于評估 WAF 如何在滿足數據隱私需求的情況下,為企業提供易于使用和管理的安全服務。
戰略性規劃展望
到2020年,在新部署的 WAF 中,獨立 WAF 硬件設備所占的比例將從如今的 40% 下降到 20% 以下;
到2020年,50% 以上面向公眾的 Web 應用將受到基于云的 WAF 服務平臺的保護,與當前不足 20% 的比例相比,有了大幅增加。基于云的 WAF 服務平臺兼顧 CDN、分布式拒絕服務攻擊(DDoS)防御、bot 緩解服務和 WAF 等功能,能為 Web 應用提供更好的安全保護。
WAF 市場現狀
客戶在本地部署(on-premises 內部部署)或遠程部署(托管式部署、基于云的部署或作為服務部署)公共和內部的 Web 應用后,需要采取安保措施,這就催生了 WAF 市場。WAF 可以保護 Web 應用和 API 遠離各種攻擊,尤其是注入攻擊和 DoS 攻擊。WAF 服務不僅提供基于特征的防護,還應支持主動安全模型及/或異常檢測技術。
WAF 通常部署在 Web 服務器的前端,旨在保護 Web 應用遠離內部和外部的攻擊、監控 Web 應用的訪問,同時收集訪問日志用于合規/審計和分析。WAF 最常以反向代理的方式進行嵌入式部署,因為以往反向代理是進行深入檢測的唯一途徑。現在,WAF 可以采用其他部署模式,比如透明代理或網橋。一些 WAF 還可以采用帶外部署模式(即 OOB 或鏡像模式),因而可處理網絡流量副本。不過,在這些部署模式中,WAF 的每一項功能并非都能發揮作用;對許多企業組織而言,反向代理依然是最流行的部署方式。近些年來,Web 應用更多地使用傳輸層安全(TLS)加密――基于利用嵌入式攔截流量(中間人)解密的密碼套件(cipher suite),因而減少了 OOB 部署的數量。
近年來,除了中型企業之外,越來越多的其他企業也開始選擇使用基于云的 WAF 服務。基于云的 WAF 服務將基于云的部署與訂閱模式相結合,選擇了基于云的 WAF 服務的客戶也可以主動選擇廠商附帶提供的管理服務;當然,由于管理服務是基于云的 WAF 服務的必要成分,有時候客戶也不得不選擇這個附加服務。部分供應商決定充分利用現有的 WAF 解決方案,將其包裝成 SaaS (軟件即服務),這有助于廠商更加快速地向客戶提供基于云的 WAF 服務。同時,相較那些最初就推出云 WAF 服務的供應商,后來才轉向云 WAF 的供應商借由 SaaS 的一些功能特性進行差異化競爭。不過,其面臨的一個難點在于如何簡化管理和監控平臺以滿足客戶的預期。
基于云的 WAF 原本就基于多用戶和以云服務為基礎,從長遠來看,它可以節約維護成本。此外,發布周期更短、能迅速部署創新功能等也是基于云的 WAF 的優勢。如果用戶使用獨立開發的基于云的 WAF 服務,他們也將面臨一大挑戰,那就是缺少統一的管控平臺去支持并管理不同的使用場景。
Gartner 就 WAF 的應用情況與客戶交流,得知有些客戶會將 WAF 與網絡防火墻上的應用控制功能(應用感知)相混淆。WAF 的主要好處就是可以防范企業開發的 Web 應用代碼中“自己造成的”安全漏洞,同時防范現成的 Web 應用軟件中的安全漏洞。如果不使用 WAF,那些主要用于防范已知 exploit 的其他技術將無法防范此類漏洞。此外,調查顯示,針對這些企業 Web 應用的攻擊大多數來自外部攻擊者。
本年度 WAF 魔力象限報告包括部署在 Web 應用外部、并未直接整合在 Web 服務器上的 WAF:
專門定制的物理、虛擬或軟件設備
嵌入在應用交付控制器(ADC)中的 WAF 模塊
基于云的 WAF 服務,包括嵌入在更大平臺(如 CDN 內容分發網絡)中的 WAF 模塊
基礎設施即服務(IaaS)平臺上的虛擬設備,以及 IaaS 廠商提供的WAF服務
API網關、bot 管理(包括惡意 bot 防范和善意 bot 白名單機制)以及 RASP 可以算是 WAF 服務的競品,可能會與 WAF 服務爭奪客戶。這可以激勵 WAF 廠商在合適的時機為 WAF 服務增添競品的功能。例如,基于云的 WAF 服務可以將 Web 應用安全和 DDoS 防護及 CDN 結合在一起。WAF 能夠與應用安全測試(AST)、數據庫監視或 SIEM 等其他企業安全技術結相合,這一特點讓 WAF 在市場上占據上風。WAF 與 ADC、CDN 或 DDoS 防護云服務等其他技術結合,既能帶來優勢也能帶來挑戰。然而,說到 Web 應用安全,市場評估更側重于顧客的安全需求。因而,WAF 技術在以下幾方面的表現就比較重要:
最大限度地提高已知和未知威脅的檢測率和捕獲率
最大限度地減少誤報,并且靈活適應不斷變化的 Web 應用
借助易于使用和影響最小的優點,促進 WAF 得到更廣泛的應用
使事件響應工作流程實現自動化,協助 Web 應用安全分析員高效工作
保護面向公眾和內部使用的 Web 應用及 API
Gartner 認真分析了這些功能和創新技術,檢測它們提升 Web 應用安全的功效。這些功能和技術的效果應當超出網絡防火墻、入侵檢測系統(IPS)以及開源/免費 WAF(如 ModSecurity)等通過利用普通簽名規則集所達到的安保效果。
2017 WAF 魔力象限
今年的 WAF 魔力象限如上圖所示,其中:
處于 Leader 象限的廠商有: F5、Akamai、Imperva;
處于 Challenger 象限的廠商有: Cloudflare、Citrix、Fortinet、Barracuda Networks;
處于 Niche Players 象限的廠商有:DenyAll、NSFOCUS(綠盟科技)、Venustech(啟明星辰)、Ergon Informatik、Pentagon Security Systems、Amazon Web Services;
處于 Visionarie 象限的廠商的有: Radwarea、Positive Technologies 和 Instart Logic。
注:榜單中的 DenyAll 已被 Rohde &Schwarz Cybersecurity 收購。
此外,由于市場和評估標準發生了變化,或者某些廠商的業務中心發生了變化,2017 年度 WAF 魔力象限中的廠商也有所增減。
新增的廠商有:
Amazon Web Services
Instart Logic
Venustech(啟明星辰)
相較去年未上榜的廠商有:
AdNovum
Trustwave
United Security Providers
以下是 Gartner 針對國內 WAF 供應商綠盟和啟明星辰的相關分析:
Gartner 在針對綠盟的 WAF 能力分析中提到,其主要優勢在于能夠進行大規模環境的部署,集群部署能力較好;而且企業有著不錯的營銷能力,正在向國際化方向發展。此外,綠盟有個大型威脅研究團隊,應對各種最新出現的攻擊;產品誤報率較低,并且面對攻擊時的表現也不錯。最后,綠盟的客戶可以將其 WAF 產品和 DDoS 防護以及 Web 應用漏洞掃描器進行結合。
但與此同時,綠盟最大的軟肋在于并未迎合時代推出基于云的 WAF 服務,近期僅發布了虛擬設備,可用于阿里云 IaaS 平臺,還宣布了和 AWS 和 Azure的整合。其它弱勢還在于海外部署比較少;客戶普遍要求對報告、實時監控和日志模塊進行提升,并且缺乏事件的自動化分析;沒有使用源來自動獲得新的防護能力;中央管理能力不夠完善,僅提供一些預定義的管理角色對 WAF 進行管理。
啟明星辰和綠盟一樣也位于 Niche Players 象限,其優勢和缺陷在某些問題上也比較相似。比如說其市場和銷售都表現上佳,用戶體驗不錯——售前售后支持都是客戶持續使用其 WAF 產品的重要原因。另外其產品從 350Mbps 到 30Gbps 配置都有,在生產環境中的性能表現好。
弱勢也表現為啟明星辰未提供云 WAF 服務,缺乏與 IaaS 平臺的融合,沒有整合 DDoS 防護;啟明星辰的 WAF 基本局限在國內。此外 Gartner 認為啟明星辰的 WAF 客戶超 85% 都是中型規模企業組織;同樣其 WAF 也缺乏相應的身份認證特性,僅限于預定義的一些管理角色;Gartner 客戶認為啟明星辰 WAF 在 SQL 注入防護方面有待提升,中央化管理等相較最出色的競爭對手也仍有距離。有關 WAF 產品的更多分析評價,可參見 Gartner 原報告。
報告背景
Gartner 認為,客戶企業及組織應當結合自身需求,綜合考慮每個象限中廠商,來選擇產品和服務。事實上,WAF 市場中有很多供應商的 WAF 業務只占到所有業務的很小一部分。如果客戶需要選擇 WAF 產品或服務,還需要考慮到自身的特殊需求,如部署方式、部署規模、合規、機密業務泄露風險、客戶 Web 應用以及廠商的本地支持和市場熟悉程度等。
考慮部署 WAF 的安全管理專家應當首先考慮自身的部署限制,尤其要考慮以下幾個方面:
是否能接受在 Web 應用中全面部署反向代理類嵌入式 WAF,因為這類 WAF 有屏蔽功能;
考慮不同 WAF 交付(針對專用應用、CDN、ADC以及云服務等)的優勢和不足;
SSL 解密/再加密及其他擴展需求
WAF 市場概覽
據 Gartner 估計,2016 年 WAF 市場總值約為 6 億 2600 萬美元,與 2015 年相比增長了 21.3%。其中,美洲市場份額占總市場的 43% ,歐洲、中東、非洲三個地區總共占 27%,亞洲/太平洋地區占 29%。
WAF 市場發展趨勢
Gartner 觀察發現,WAF 市場有三大發展趨勢:
1. 來自 ADC 廠商的物理設備銷量和 WAF 銷量都在下降;同時,大部分廠商的銷量都在經歷下降或低至個位百分點的增長;
2.基于云的 WAF 服務穩步增長。預計基于云的 WAF 市場目前占整個 2017 年 WAF 市場的 30% 以上。最初就做云 WAF 解決方案的供應商相較于傳統供應商具備更強的競爭力。在調查中,IaaS 廠商較少,但他們也提供 WAF 服務;
3.前些年,WAF 領域并沒有多少創新技術,也很少利用機器學習——即便是現在也很少有 WAF 利用機器學習技術(未來,WAF 市場也許會更多利用機器學習技術)。此外,大部分 WAF 廠商仍缺乏更高級的分析方法,需要進一步學習或創新。
Gartner 估計,2018 年會是 WAF 市場變革的巔峰之年,因為基于云的 WAF 服務雖然收益有所下降,但目前已經可以撐起全球 WAF 市場。
大規模 WAF 部署十分復雜,這也是 WAF 與其他云服務相比的不足之處。但是,除了內部部署所帶來的安全保護之外, WAF 廠商有更多的選擇,他們可以在虛擬設備等方面提供 WAF 保護,這在企業評估中是一項優勢。
WAF 未來將有更健康的發展
基于用戶調查結果,最常使用 WAF 服務的應用如下:
企業網站(78%)
電商元件(66%)
客戶門戶(63%)
WAF 市場未來仍有增長的潛力。根據 Gartner 最近針對 Web 應用程序安全的調查,WAF 仍然是 Web 應用程序最常用的的安全保護方案(84%),其次是企業 IPS(61%)和應用程序安全測試(58 %)。大型企業可能將其面向公眾的 Web 應用程序分級,其中最關鍵的應用程序(一級)需要更嚴格的安全控制,需要花費更高的預算來確保安全;而其他應用程序(二級和三級)更有可能因為有限的安全預算和資源而出現安全問題并遭受損失。同時, 研究人員發現,部署在內部 Web 應用程序前端的 WAF 數量更少。
調查結果顯示,保護企業 Web 應用程序的最有效技術和流程中,WAF 處于首位(73%),應用程序安全測試(53%)排名第二。Verizon 數據泄露調查報告等行業報告也表明,攻擊網絡應用程序是導致數據泄露的最主要入侵手段,因此,需要提高人們對市場中 Web 應用程序安全風險的意識。
WAF 正從物理設備轉向基于云的 WAF 服務
展望未來,WAF 物理設備的前景似乎并不光明:
首先,Web 應用所面臨的首要入侵手段就是涉及第三方信用入侵的憑證竊取,而 WAF 物理設備仍然對此束手無策;
其次,基于云的 WAF 服務廠商可以提供針對安全管控的遠程托管應用和提升服務,這類應用和服務越來越多,導致 WAF 物理設備曾經的優勢越來越小。
在 Gartner 的企業應用程序安全研究中,參與者最常用的企業 Web 應用程序部署方法仍然是內部部署(51%),其他部署方式為:私有云占 26%,IaaS 占 16%,SaaS 占 7%。
開發方法也在改變:越來越多的應用程序利用敏捷方法進行開發。參與調查的人員中有 60% 經常使用敏捷方法進行移動應用后端開發。 Gartner 最近對 IT 專業人士的 DevOps 調查也證實了這一點:只有 28% 的受訪組織尚未使用 DevOps。
此外,內部因素(如領域缺乏創新等)使得 WAF 物理設備急劇減少。一些供應商正在嘗試分配其研發資源,以更新舊版設備技術、支持更新的標準(HTTP 2.0,JSON有效負載分析等),同時啟動基于云的 WAF 服務計劃。
客戶反饋表明,WAF 物理設備最常見的挑戰是大量的部署和運營工作。60% 的經銷商表示,未來他們有可能出售更多的 WAF 云服務,而 54% 的經銷商則表示他們未來可能銷售更多的 WAF 技術管理服務。Gartner 對客戶的調查表明,安全管理人員對基于云的 WAF 服務的興趣明顯增加,主要是因為基于云的 WAF 可以減少部署和運營工作量。他們喜歡管理服務這個設想,但同時也擔心相關的成本,還擔心管理多個安全服務供應商會帶來許多復雜工作。
應用安全的 Leader 們認為, Web 應用程序安全領域的碎片化問題很難解決。基于云的 WAF 服務恰巧有望解決這個問題,因為這種服務更容易部署、通常將多種功能集中在一個訂閱業務中,而且更加安全。
移動應用安全和新興 IoT 等應用或服務非常適合使用基于云的 WAF 服務來保護安全。但是 IoT、單頁和移動應用在客戶端都有很多的實現方式。如果 WAF 不與時俱進,就無法在這些領域取得發展。
來自專業供應商的服務(如 Distil Networks 和 Shape Security 針對 bot 的解決方案),以及利用新供應商(如 Signal Sciences)的檢測和/或保護技術的其他安全解決方案都將給基于云的 WAF 服務帶來巨大挑戰。
更多詳情請可以點擊這里查看報告原文
*參考來源:Gartner 報告;AngelaY 編譯,轉載請注明來自 FreeBuf.COM
京公網安備 11010502049343號