8月29日,Gartner发布2018年度Web应用防火墙(WAF)魔力象限,这是Gartner自2014年之后连续第五年发布此类报告。报告中照例描述了全球WAF市场整体状况,并对主要WAF厂商进行了详细的优缺点分析。今年Gartner的评判标准有所提高,并对未来WAF市场的趋势做出了新的预测。
本份报告依旧为为企业安全团队提供了参考,可用于评估WAF如何在满足数据隐私需求的情况下,为企业提供易于使用和管理的安全服务。
近年来,企业纷纷采取云WAF服务来保护自己的业务安全,带动WAF市场的不断增长。2017年的GartnerWAF魔力象限所得出的结论是云WAF将替代物理设备成为主流,这一结论在2018年GartnerWAF魔力象限报告中得到了验证。
到2020年,独立的WAF硬件设备在新部署的WAF中所占的比例将不到20%,明显低于目前的35%。
到2023年,30%以上面向公众的Web应用将受到云Web应用和API保护(WAAP)服务的保护,与目前的10%相比将有巨大提升。分布式拒绝服务(DDoS)防御、bot环节服务、API保护和WAF等功能,可以为Web应用提供更好的安全保护。
客户对于保护公共和内部Web应用的需求推动了WAF市场。WAF可保护Web应用和API远离自动化攻击(机器人程序)、注入攻击和应用层拒绝服务(DoS)等多种攻击。合格的WAF不仅提供基于特征的防护,还应支持主动安全模型(自动白名单)及/或异常检测。
WAF通常部署在Web服务器的前端,旨在保护Web应用远离内部和外部的攻击、监控Web应用的访问,同时收集访问日志用于合规/审计和分析。WAF通常以物理或虚拟设备的形式存在,现在已经逐渐通过云WAF服务的方式交付。WAF最常以反向代理的方式进行嵌入式部署,因为以往反向代理是执行深入检测的唯一途径。目前,WAF还可以采用其他部署模式。当前形势下,云WAF服务的兴起、有意设置反向代理来执行任务以及采用更新颖的需要解密嵌入式流量拦截(中间人攻击)的传输层安全(TLS)套件等都加大了反向代理的使用。
云WAF服务将由云交付的XX即服务部署与订阅模式结合起来。云WAF服务提供商可以提供托管服务;对于一些客户来说,它是使用WAF的必备组件。一些供应商选择利用现有的WAF解决方案,将其重新包装成SaaS。这使得供应商能够更快地向客户提供云WAF服务,而且可以利用现有功能,有别于功能特性相对有限的云原生WAF服务产品。这种方法的一个难点是简化管理和监控控制台,继承全面的WAF设备功能特性,以满足客户对易用性的期望,又不缩小安全范围。Gartner将云Web应用和API保护(云WAAP)服务定义为现有云WAF服务的演进。从长远来看,云WAF服务一开始就采用多租户模式、以云为中心,避免了花高昂的成本来维护遗留代码。它们还提供竞争优势,更快的发布周期,迅速实施创新的功能。一些企业使用由WAF设备构建的云WAF服务,这么做是为了获得统一的管理和报告控制台。
该魔力象限包括部署在Web应用程序外部而不直接集成到Web服务器上的WAF:
专用的物理、虚拟或软件设备;
嵌入在应用交付控制器(ADC)中的WAF模块;
云WAF服务,包括嵌入在较大云平台中的WAF模块(比如内容交付网络,CDN),以及直接从基础设施即服务(IaaS)平台交付的云WAF服务;
IaaS平台上提供的虚拟设备,以及来自IaaS提供商的WAF解决方案。
API网关、bot管理(包括恶意bot防范和善意bot白名单机制)以及RASP可以算是WAF服务的竞品,可能会与WAF服务争夺客户。这可以激励WAF厂商在合适的时机为WAF服务增添竞品的功能。例如,基于云的WAF服务可以将Web应用安全和DDoS防护及CDN结合在一起。WAF能够与安全测试(AST)、Web访问管理(WAM)或安全信息和事件管理(SIEM)等其他企业安全技术结相合,这一特点让WAF在市场上占据上风。WAF与ADC、CDN或DDoS防护云服务等其他技术结合,既能带来优势也能带来挑战。然而,说到Web应用安全,市场评估更侧重于顾客的安全需求。因而,WAF技术在以下几方面的表现就比较重要:
尽量提高已知和未知威胁的检测率和捕获率;
尽量减少虚假警报(误报),并灵活适应不断发展的Web应用;
可区别自动化流量和人类用户,并对这两类流量实施适当的控制;
借助易于使用和影响最小的优点,促进WAF得到更广泛的应用;
实现事件响应工作流程自动化,帮助Web应用安全分析员高效工作;
不光保护内部使用的Web应用和API,还保护面向公众的Web应用和API;
Gartner充分利用通用特征规则集,认真分析了这些功能和创新技术,检测它们提升Web应用安全的功效。这些功能和技术的效果超出了网络防火墙、入侵检测系统(IPS)以及开源/免费WAF(如ModSecurity)等通过利用普通签名规则集所达到的安保效果。
Gartner加强了入围今年Web应用防火墙魔力象限的标准,体现企业在选择WAF提供商时不断变化的要求。经过更新的标准包括要求厂商在本埠之外的区域有最基本的收入,因此一些本地厂商被排除在外。
图1WAF魔力象限2018
图2WAF魔力象限2017
今年的WAF魔力象限如上图所示,其中:
处于Leader象限的厂商有:Akamai、Imperva;
处于Challenger象限的厂商有:F5、Fortinet、Cloudflare、Citrix、BarracudaNetworks;
处于NichePlayers象限的厂商有:Instart、AmazonWebServices、Rohde&SchwarzCybersecurity、ErgonInformatik、Microsoft;
处于Visionarie象限的厂商的有:Oracle和Radwarea
2018年,Gartner更新了魔力象限准入标准,以便反应企业更真实更迫切的需求。其中一项要求就是厂商要在本埠之外也有客户群。Gartner观察到越来越多的小型供应商在本地区与开展业务,更多的CDN和ADC供应商将WAF作为一项功能添加到产品或服务当中。为了反映全球WAF需求方的更严格要求,本次魔力象限包要求WAF供应商必须有超过5%的客户群位于其本国区域之外,这个标准值得注意。
由于标准有所变化,本年度的WAF魔力象限中的厂商也有所增减。
Microsoft(Azure)
Oracle(收购了Zenedge)
NSFOCUS
PentaSecurity
PositiveTechnologies
Venustech
此外,F5从2017年的Leaders象限跌到了Challenger的象限。
Imperva是一家应用程序、数据库和文件安全供应商,其产品组合包括数据库安全产品(SecureSphereDataProtection和DatabaseAuditandCounterBreach),WAF设备(SecureSphereWAF)和云WAF服务(Incapsula)。Imperva还提供托管安全服务和托管SOC。
Gartner认为Imperva的优势首先在于其营销策略。它不仅为具有内部部署和云托管应用程序组合的组织提供灵活的产品或服务搭配,还是少有的同时提供WAF设备和云WAF服务的供应商。同时,Imperva还注重客户体验,在产品上搭载ThreatRadar的共享威胁情报,且不断更新改进。在地理战略上,Imperva在大多数地区都提供产品和持续有效的支持,近期在亚太地区的表现尤为突出。
Akamai是一家全球CDN提供商,有专门研究Web应用程序安全的团队。除了WAF(KonaSiteDefender)之外,Akamai还提供其他安全服务,包括应用程序访问控制(企业应用程序访问)、托管DDoS清理服务(Prolexic)、API网关(AkamaiAPI网关)和DNS服务(快速DNS)等。Akamai还提供精简版和低成本的KonaSiteDefender版本,也就是Web应用防护(WAP)。
Gartner认为Akamai的优势在于不断开发和改进其Web应用程序安全解决方案,并不断发展威胁研究和安全运营中心(SOC)团队。在云服务方面,Akamai提供广泛的产品组合,适用于需求不同的用户。Akamai在北美和欧洲都有广泛的业务网,能够对其处理的整个流程自动分析和分类,为客户提供托管服务等,这些都收获了较好的口碑。
同时,值得注意的是,Akamai的WAF服务仅仅通过云的方式提供,这就无形中少了很多不使用或不方便使用云安全解决方案的客户。此外,Akamai的WAF服务定价相对较高且捆绑很多选项。其政策管理系统体验较差,且没有有效方法测试更新的规则,在安全自动化以及主动安全模型方面也有所欠缺。
Gartner认为,客户企业及组织应当结合自身情况,综合考虑每个象限中厂商,基于功能和实际需求来选择产品和服务。事实上,WAF市场中有很多规模较小的供应商,或者供应商的WAF业务只占到所有业务的很小一部分。如果客户需要选择WAF产品或服务,还需要考虑到自身的特殊需求,如部署方式、部署规模、合规、机密业务泄露风险、客户Web应用以及厂商的本地支持和市场熟悉程度等。
考虑部署WAF的安全管理专家应当首先考虑自身的部署限制,尤其要考虑以下几个方面:
是否能接受在Web应用中全面部署反向代理类嵌入式WAF,因为这类WAF有屏蔽功能;
考虑不同WAF交付(针对专用应用、CDN、ADC以及云服务等)的优势和不足(特定应用、CDN、ADC、云服务)
SSL解密/重加密以及其他扩展需求
据Gartner估计,2018年WAF市场总值将达到8亿5300万美元,与2017年的7亿6200万美元相比增长了11.9%。其中,美洲市场份额占总市场的47.6%,欧洲、中东、非洲三个地区总共占31.2%,亚洲/太平洋地区占21.2%,
随着越来越多的企业通过面向公众的应用程序(包括API驱动的移动或物联网应用程序)助力新的数字业务,Web应用安全受到的重视日渐增加。根据Verizon的报告,网络应用程序是导致2017年数据泄露的头号攻击渠道。
Gartner在与客户交流WAF使用情况时,发现有些客户会将WAF与网络防火墙上的应用程序控制功能(应用程序感知)相混淆。WAF的主要优势和特点就在于防范企业开发的Web应用代码中“自己造成的”安全漏洞,同时防范现成的Web应用软件中的安全漏洞。如果不使用WAF,那些主要用于防范已知exploit的其他技术将无法防范此类漏洞。此外,调查显示,针对这些企业Web应用的攻击大多数来自外部攻击者。
Gartner发现需要部署云WAF服务和需要部署WAF设备的客户之间存在不同的期望:
寻找WAF设备(物理和虚拟)的组织更有可能已经安装了WAF设备。他们对主动安全模型、高级安全功能以及WAF在事件响应工作流程中的集成提出了更高的期望。
Gartner观察发现,WAF市场有以下发展趋势:
来自ADC厂商的物理设备销量和WAF模块部署数量都在下降;同时,大部分厂商的销量都在经历下降,只有一些供应商在阅收入增加的推动下实现了缓慢的个位数增长;
云WAF服务继续稳步增长。目前,云WAF市场占整个2017年WAF市场的35%以上。最初就做云WAF解决方案的供应商相较于传统供应商具备更强的竞争力。在调查中,提供WAF服务的IaaS供应商依然处于初级阶段;
云WAF服务更常用于面向公众的应用程序。云WAF设备的大规模部署过程很复杂,这仍然是云WAF的竞争劣势。Web应用程序策略可践行“混合方法”,使用与WAF设备最佳实践相同的WAF技术来保护内部部署和云托管资产。
此外,WAF市场还面临相近技术的竞争,并且还更频繁地面临替代方法的挑战。包含传统WAF和RASP应用工具的解决方案、使用分析后端检测客户群攻击模式的方法、为各个传感器(例如SignalSciences或tCell)提供更新等多种方式和方法,对于WAF而言都是挑战。
在过去几个月中,区分自动流量与人类客户的能力已成为WAF的一项更重要要求。Bot程序缓解和合理的僵尸处理已经成为通过审查的功能,WAF供应商也正在调整产品,赋予产品更多功能。较大的企业针对专业供应商(如DistilNetworks、PerimeterX、ShapeSecurity和StealthSecurity等)的WAF进行评估,以缓解僵尸攻击。传统的基于知名度检测和指纹控制的技术如今已经足够阻止低端和慢速高级僵尸,因此更多企业在其RFP中增加了行为分析的要求。Gartner预计bot管理(包括bot程序缓解和合理的僵尸处理)将成为不久的将来WAF评估所注重的核心功能。
API安全性功能也将经历类似的发展,但目前对于这一功能的市场意识还不够高。此前,许多组织将API管理网关视为临时解决方案。Gartner预测,到2022年,“API滥用将成为最常见的攻击媒介,导致企业Web应用程序出现数据泄露。”目前只有一些WAF供应商提供基本的API安全功能,这一情况在未来会随着专业API安全厂商的出现而有所改善。
=====================================================================