作者:Jeremy D'Hoinne、Adam Hils、Claudio Neiva和Rajpreet Kaur
由于企业纷纷采用云Web应用程序和API保护服务,Web应用防火墙(WAF)市场不断增长。网络和应用安全负责人需要评估WAF如何在满足数据隐私需求的同时,提供易于使用和管理的更高安全性。
到2022年,Web应用防火墙(WAF)硬件设备在新部署的WAF中所占的比例将不到10%,比今天的30%大幅下降。
到2023年,30%以上面向公众的Web应用程序和API将受到云Web应用程序和API保护(WAAP)服务的保护,WAAP服务结合了分布式拒绝服务(DDoS)防御、机器人程序缓解(bot mitigation)、API保护和WAF。这比今天的不到10%明显增长。
到2024年,为生产环境中的Web应用程序实施多云策略的大多数企业组织将仅使用云WAAP服务。
到2024年,结合API管理网关、WAF和机器人管理功能的更广泛的云Web应用安全平台将保护20%面向公众的Web API。这比今天的不足5%大幅增长。
客户需要保护公共和内部Web应用程序,因此推动WAF市场发展。WAF可保护Web应用程序和API免受各种攻击,包括自动化攻击(机器人程序)、注入攻击和应用程序层拒绝服务(DoS)。它们应提供基于特征的防护,还应支持主动安全模型(自动化白名单技术)及/或异常检测。
部署WAF以保护Web应用程序免受内外攻击、监控和验证对Web应用程序的访问,并收集访问日志用于合规性/审计和分析。WAF以物理设备或虚拟设备的形式存在,日益从云端来交付,作为云Web应用程序和API保护服务(比如云WAAP服务)。WAF最常以嵌入(in-line)方式加以部署,部署成反向代理。这是执行全面检查和策略执行的最简单方法。其他部署方案包括反向代理和负载均衡系统上的WAF插件,或带外部署。有意用作反向代理的云WAAP服务大行其道,以及采用需要嵌入式流量拦截(比如中间人攻击流量)进行解密的最新传输层安全性(TLS)套件,加大了使用反向代理的力度。
Gartner将云WAAP服务定义为第一批云WAF服务的进化版。云WAAP服务将通过云交付的X即服务部署与订阅模式结合起来。云WAAP服务提供商可能提供托管服务;对于一些人来说,托管服务是此类产品的强制性组件。一些供应商决定充分利用其现有的WAF解决方案,重新包装成SaaS。这让供应商能够更快地为客户提供云WAF服务,它们可以利用现有功能,与拥有更有限的保护功能集的云原生WAF服务产品区别开来。这种做法的困难之一是简化管理和监控控制台——源自于满足客户在易用性方面预期的综合WAF设备功能集,而又不缩小安全范围。强制性托管安全服务(MSS)常常是云WAAP服务发展过程的中间步骤;在这个环节,产品是利用WAF设备技术构建的。
从长远来看,一开始面向多租户、以云为中心而构建的云WAAP服务避免了旧代码的昂贵维护。它们还提供了竞争优势,发布周期更短,可以迅速实施创新功能。一些企业组织选择利用WAF设备构建的云WAAP服务,这么做是为了获得统一的管理和报告控制台,或云原生WAAP服务还没有提供的高级功能(比如主动安全模型)。
该魔力象限包括在Web应用程序外面部署,没有直接集成到Web服务器上的WAF:
独立的机器人程序缓解解决方案、API网关、专用API保护解决方案、运行时应用程序自我保护(RASP)是WAF市场的周边产品,可能会争夺同样的安全预算。这促使WAF供应商在适当的时候添加来自这些市场的相关功能。比如说,云WAF服务常常将Web应用程序安全与DDoS防护和CDN捆绑起来。WAF与其他企业安全技术集成的能力是支持WAF在企业市场获得强大地位的一种能力,比如应用安全测试(AST)、Web访问管理(WAM)或安全信息及事件管理(SIEM)等技术。将WAF与ADC、CDN或DDoS缓解云服务等其他技术整合起来有其自身的利弊。然而,说到Web应用程序安全,该市场评估报告更侧重于买方的安全需求。这包括WAF技术如何:
最大限度地提高已知和未知威胁的检测率和捕获率;
最大限度地降低错误警报(即误报),并适应不断变化的Web应用程序;
将自动化流量与人类用户区分开来,并对这两类流量实行适当的控制;
确保通过易于使用和极小的性能影响提高采用率;
自动化事件响应工作流程,以协助Web应用程序安全分析员;
保护面向公众、面向合作伙伴以及内部使用的Web应用程序和API。
Gartner认真分析了这些功能和创新,观察它们的这种能力:通过充分利用通用特征规则集,加强Web应用程序安全性,而不是仅限于网络防火墙、入侵防御系统(IPS)和开源/免费WAF(比如ModSecurity)所实现的功能。
由于许多本地安全提供商、CDN和ADC可能采用ModSecurity引擎,并使用可用的规则集之一,如今市面上有大量的WAF解决方案。
Gartner的入围和排除标准现包括要求从供应商所在国以外的市场获得至少一定的收入,还要求云WAF服务至少有一定数量的客户。
这不可避免地导致一些规模较小或区域性更强的供应商被排除在外。
Gartner 2019 年 Web 应用防火墙魔力象限
:
Gartner 2018 年 Web 应用防火墙魔力象限
:
Gartner 2017 年 Web 应用防火墙魔力象限
:
新增的供应商:
阿里云、Signal Sciences
思杰跌出魔力象限是由于现在要求供应商的云WAF服务拥有的付费客户的数量比过去更多。
Ergon Informatik跌出象限是由于现在要求供应商提供云WAF服务。
Instart跌出象限缘于其WAF产品发生了变化。不再对它另外收费。
Rohde & Schwarz Cybersecurity跌出象限是由于 Gartner 更新了入围标准。
Gartner预测,2019年WAF市场总产值将达到9.49亿美元,比2018年的总产值8.53亿美元增长11.2%。综观全球,北美预计会成为最大的区域市场,达到4.25亿美元,占整个市场的45%。欧洲、中东和非洲(EMEA)将获得2.95亿美元的客户支出,占整个市场的31%。包括大中华区和日本在内的亚太地区将达到2.03亿美元,占全球市场的21%。拉美将达到2600万美元,仅占整个市场的3%。
Gartner与客户讨论WAF采用情况时,注意到网络防火墙上的应用控制功能(应用感知)方面偶尔存在认识不清。WAF的主要好处和差异化优势是,为企业开发的Web应用程序代码中的漏洞提供保护,而不仅仅针对现成的Web应用程序软件中的漏洞提供保护。这些“自己造成”的漏洞不然得不到主要防御已知漏洞的其他技术的保护。针对这些企业应用程序的大多数攻击来自外部攻击者。
企业组织在构建更多的Web应用程序,它们已成为业务的核心。因此,安全负责人日益需要在运行时进行安全控制。Gartner发现,越来越多的客户咨询与WAF采购有关,更多的企业组织考虑针对WAF采用云优先的方法。仍在运行本地应用程序的大企业开始添加与统一管理有关或更常见的是与事件响应统一流程有关的需求。
Gartner注意到考虑使用云WAF服务的客户和考虑使用WAF设备的客户期望不一样:
Gartner继续看到企业组织决定将部署选项作为第二步,比较云WAF和WAF设备各自的优缺点。
WAF设备市场尚未消亡。遗留Web应用程序有一条长尾,一部分企业组织使用托管在云基础设施上的虚拟设备,以此简化管理和事件响应。然而Gartner的分析师观察到,许多提供设备和云WAF服务的WAF供应商在确定路线图的优先级时,改而采用“云WAF优先”的方法。依赖WAF设备保护其应用程序和API的企业组织应该对路线图承诺有更高的要求,因为这个细分市场在Gartner的《炒作周期》中已进入到实质生产的高峰期(Plateau of Productivity)。
为了反映最近的变化,今年的魔力象限对WAF提供者增加了一个要求,即必须提供云WAF服务,使用该解决方案的客户至少达到一定数量。由于这个要求,几家供应商跌出了象限。
影响力仅限区域市场的知名供应商也跌出了这份WAF市场全球评估报告。由于亚太区包括一些比较大的WAF供应商,2019年会继续有一份结合上下文的魔力象限。
云Web应用程序和API保护服务成为更模块化的安全平台
在“定义云Web应用程序和API保护”中,Gartner建议:
安全负责人要适应Web应用程序和API威胁领域出现的变化,为此提高Web应用程序安全要求,要求供应商提供更全面的WAAP,而不仅限于传统的WAF范围和期望。
随着更多的提供商加强这一能力:基于WAAP的四个核心原则(WAF、机器人程序缓解、DDoS防护和API保护)提供足够好的防护,云Web应用程序和API保护服务成为了现实。
在过去的12个月,WAF供应商在机器人程序缓解方面投入了更多的资金。机器人程序缓解供应商的收购应该会使这些提供商阻止恶意机器人程序的能力带来全面的提升,包括Radware收购ShieldSquare、Imperva收购Distil Networks以及Barracuda收购Infisecure。机器人程序缓解方面的进展不仅限于收购,因为大多数提供商都试图同时提升嵌入式功能。
API安全遵循类似的发展轨迹。它没有得到足够的服务,因为产品不太成熟,企业组织为发现新API的第一步而苦苦挣扎。在“API安全:保护API需要采取的措施”中,Gartner预测:
到2021年,90%拥有Web功能的应用程序因暴露的API而面临的攻击面将大于用户界面(UI),比2019年的40%大幅增长。
更多的WAF供应商在提供API安全功能方面取得了进展,但是这方面还有很多工作要做。
Gartner的分析师与寻找解决方案以保护面向公众的应用程序的企业组织交谈时获悉,现在总体上比过去更容易为更全面的Web应用程序安全找到业务理由,但更难证明有必要投入相关成本。一旦掌握了针对其他实施的控制措施的最佳实践,客户很重视能够逐步启用更多的控制措施,轻松添加新模块。