8 月 29 日,Gartner 发布 2018 年度 Web 应用防火墙(WAF)魔力象限,这是 Gartner 自 2014 年之后连续第五年发布此类报告。报告中照例描述了全球 WAF 市场整体状况,并对主要 WAF 厂商进行了详细的优缺点分析。今年 Gartner 的评判标准有所提高,并对未来 WAF 市场的趋势做出了新的预测。
本份报告依旧为为企业安全团队提供了参考,可用于评估 WAF 如何在满足数据隐私需求的情况下,为企业提供易于使用和管理的安全服务。
近年来,企业纷纷采取云 WAF 服务来保护自己的业务安全,带动 WAF 市场的不断增长。2017 年的 Gartner WAF 魔力象限所得出的结论是云 WAF 将替代物理设备成为主流,这一结论在 2018 年 Gartner WAF 魔力象限报告中得到了验证。
战略规划展望
到 2020 年,独立的 WAF 硬件设备在新部署的 WAF 中所占的比例将不到 20%,明显低于目前的 35%。
到 2023 年,30% 以上面向公众的 Web应用将受到云 Web 应用和 API 保护(WAAP)服务的保护,与目前的 10% 相比将有巨大提升。分布式拒绝服务(DDoS)防御、bot 环节服务、API 保护和 WAF 等功能,可以为 Web 应用提供更好的安全保护。
WAF 市场现状
客户对于保护公共和内部 Web 应用的需求推动了 WAF 市场。 WAF 可保护 Web 应用和 API 远离自动化攻击(机器人程序)、注入攻击和应用层拒绝服务(DoS)等多种攻击。合格的 WAF 不仅提供基于特征的防护,还应支持主动安全模型(自动白名单)及/或异常检测。
WAF 通常部署在 Web 服务器的前端,旨在保护 Web 应用远离内部和外部的攻击、监控 Web 应用的访问,同时收集访问日志用于合规/审计和分析。WAF 通常以物理或虚拟设备的形式存在,现在已经逐渐通过云 WAF 服务的方式交付。WAF 最常以反向代理的方式进行嵌入式部署,因为以往反向代理是执行深入检测的唯一途径。目前,WAF 还可以采用其他部署模式。当前形势下,云 WAF 服务的兴起、有意设置反向代理来执行任务以及采用更新颖的需要解密嵌入式流量拦截(中间人攻击)的传输层安全(TLS)套件等都加大了反向代理的使用。
云WAF 服务将由云交付的 XX即服务部署与订阅模式结合起来。云WAF服务提供商可以提供托管服务;对于一些客户来说,它是使用 WAF的必备组件。一些供应商选择利用现有的 WAF 解决方案,将其重新包装成 SaaS。这使得供应商能够更快地向客户提供云 WAF 服务,而且可以利用现有功能,有别于功能特性相对有限的云原生 WAF 服务产品。这种方法的一个难点是简化管理和监控控制台,继承全面的 WAF 设备功能特性,以满足客户对易用性的期望,又不缩小安全范围。Gartner 将云 Web 应用和 API保 护(云 WAAP)服务定义为现有云 WAF 服务的演进。从长远来看,云 WAF 服务一开始就采用多租户模式、以云为中心,避免了花高昂的成本来维护遗留代码。它们还提供竞争优势,更快的发布周期,迅速实施创新的功能。一些企业使用由 WAF 设备构建的云 WAF 服务,这么做是为了获得统一的管理和报告控制台。
该魔力象限包括部署在 Web 应用程序外部而不直接集成到 Web 服务器上的 WAF:
专用的物理、虚拟或软件设备;
嵌入在应用交付控制器(ADC)中的WAF模块;
云 WAF 服务,包括嵌入在较大云平台中的 WAF 模块(比如内容交付网络,CDN),以及直接从基础设施即服务(IaaS)平台交付的云 WAF 服务;
IaaS平台上提供的虚拟设备,以及来自 IaaS 提供商的 WAF 解决方案。
API网关、bot 管理(包括恶意 bot 防范和善意 bot 白名单机制)以及 RASP 可以算是 WAF 服务的竞品,可能会与 WAF 服务争夺客户。这可以激励 WAF 厂商在合适的时机为 WAF 服务增添竞品的功能。例如,基于云的 WAF 服务可以将 Web 应用安全和 DDoS 防护及 CDN 结合在一起。WAF 能够与安全测试(AST)、Web 访问管理(WAM)或安全信息和事件管理(SIEM)等其他企业安全技术结相合,这一特点让 WAF 在市场上占据上风。WAF 与 ADC、CDN 或 DDoS 防护云服务等其他技术结合,既能带来优势也能带来挑战。然而,说到 Web 应用安全,市场评估更侧重于顾客的安全需求。因而,WAF 技术在以下几方面的表现就比较重要:
尽量提高已知和未知威胁的检测率和捕获率;
尽量减少虚假警报(误报),并灵活适应不断发展的 Web 应用;
可区别自动化流量和人类用户,并对这两类流量实施适当的控制;
借助易于使用和影响最小的优点,促进 WAF 得到更广泛的应用;
实现事件响应工作流程自动化,帮助 Web 应用安全分析员高效工作;
不光保护内部使用的 Web 应用和 API,还保护面向公众的 Web 应用和 API;
Gartner 充分利用通用特征规则集,认真分析了这些功能和创新技术,检测它们提升 Web 应用安全的功效。这些功能和技术的效果超出了网络防火墙、入侵检测系统(IPS)以及开源/免费 WAF(如 ModSecurity)等通过利用普通签名规则集所达到的安保效果。
Gartner加强了入围今年 Web 应用防火墙魔力象限的标准,体现企业在选择 WAF 提供商时不断变化的要求。经过更新的标准包括要求厂商在本埠之外的区域有最基本的收入,因此一些本地厂商被排除在外。
魔力象限
图1 WAF 魔力象限 2018
图2 WAF 魔力象限 2017
今年的 WAF 魔力象限如上图所示,其中:
处于 Leader 象限的厂商有: Akamai、Imperva;
处于 Challenger 象限的厂商有:F5、Fortinet、Cloudflare、Citrix、Barracuda Networks;
处于 Niche Players 象限的厂商有:Instart、Amazon Web Services、Rohde & Schwarz Cybersecurity、Ergon Informatik、Microsoft;
处于 Visionarie 象限的厂商的有:Oracle 和 Radwarea
厂商增减
2018 年,Gartner 更新了魔力象限准入标准,以便反应企业更真实更迫切的需求。其中一项要求就是厂商要在本埠之外也有客户群。Gartner 观察到越来越多的小型供应商在本地区与开展业务,更多的 CDN 和 ADC 供应商将 WAF 作为一项功能添加到产品或服务当中。为了反映全球 WAF 需求方的更严格要求,本次魔力象限包要求 WAF 供应商必须有超过 5% 的客户群位于其本国区域之外,这个标准值得注意。
由于标准有所变化,本年度的 WAF 魔力象限中的厂商也有所增减。
新增的厂商有:
Microsoft (Azure)
Oracle (收购了 Zenedge)
相较去年未上榜的厂商有:
NSFOCUS
Penta Security
Positive Technologies
Venustech
此外,F5 从 2017 年的 Leaders 象限跌到了 Challenger 的象限。
Gartner 关于 Leaders 象限的 Imperva 以及 Akamai 的简介与评估如下,相关厂商可以用于参考。
Imperva
Imperva 是一家应用程序、数据库和文件安全供应商,其产品组合包括数据库安全产品(SecureSphere Data Protection 和 Database Audit and CounterBreach),WAF 设备(SecureSphere WAF)和云 WAF 服务(Incapsula)。 Imperva 还提供托管安全服务和托管 SOC。
Gartner 认为 Imperva 的优势首先在于其营销策略。它不仅为具有内部部署和云托管应用程序组合的组织提供灵活的产品或服务搭配,还是少有的同时提供 WAF 设备和云 WAF 服务的供应商。同时,Imperva 还注重客户体验,在产品上搭载 ThreatRadar 的共享威胁情报,且不断更新改进。在地理战略上,Imperva 在大多数地区都提供产品和持续有效的支持,近期在亚太地区的表现尤为突出。
但值得注意的是,由于 Imperva 正在经历众多组织变革,因此其发布速度有所放缓,且市场响应能力需要加强。同时,客户对于其云 WAF 服务有更多的期待,如单点登录(SSO)以及更详细灵活的固定报告等。客户认为,当前 Imperva 的云 WAF 服务尚不能与其设备产品线涵盖的安全功能的深度和广度相匹配,且覆盖面不够广泛,部分产品定价较高。此外,高级功能对应的管理控制台依然复杂、跨站点和多域管理与报告有限等问题也是客户希望改进的问题。
Akamai
Akamai 是一家全球 CDN 提供商,有专门研究 Web 应用程序安全的团队。除了 WAF(Kona Site Defender)之外,Akamai 还提供其他安全服务,包括应用程序访问控制(企业应用程序访问)、托管 DDoS 清理服务(Prolexic)、API 网关(Akamai API网关)和 DNS 服务(快速 DNS)等 。 Akamai 还提供精简版和低成本的 Kona Site Defender 版本,也就是 Web 应用防护(WAP)。
Gartner 认为 Akamai 的优势在于不断开发和改进其 Web应用程序安全解决方案,并不断发展威胁研究和安全运营中心(SOC)团队。在云服务方面,Akamai 提供广泛的产品组合,适用于需求不同的用户。Akamai 在北美和欧洲都有广泛的业务网,能够对其处理的整个流程自动分析和分类,为客户提供托管服务等,这些都收获了较好的口碑。
同时,值得注意的是,Akamai 的 WAF 服务仅仅通过云的方式提供,这就无形中少了很多不使用或不方便使用云安全解决方案的客户。此外,Akamai 的 WAF 服务定价相对较高且捆绑很多选项。其政策管理系统体验较差,且没有有效方法测试更新的规则,在安全自动化以及主动安全模型方面也有所欠缺。
报告背景
Gartner 认为,客户企业及组织应当结合自身情况,综合考虑每个象限中厂商,基于功能和实际需求来选择产品和服务。事实上,WAF 市场中有很多规模较小的供应商,或者供应商的 WAF 业务只占到所有业务的很小一部分。如果客户需要选择 WAF 产品或服务,还需要考虑到自身的特殊需求,如部署方式、部署规模、合规、机密业务泄露风险、客户 Web 应用以及厂商的本地支持和市场熟悉程度等。
考虑部署 WAF 的安全管理专家应当首先考虑自身的部署限制,尤其要考虑以下几个方面:
是否能接受在 Web 应用中全面部署反向代理类嵌入式 WAF,因为这类 WAF 有屏蔽功能;
考虑不同 WAF 交付(针对专用应用、CDN、ADC以及云服务等)的优势和不足( 特定应用、CDN、ADC、云服务)
SSL 解密/重加密以及其他扩展需求
WAF 市场概览
据 Gartner 估计,2018 年 WAF 市场总值将达到 8 亿 5300 万美元,与 2017 年的 7 亿 6200 万美元相比增长了 11.9%。其中,美洲市场份额占总市场的 47.6% ,欧洲、中东、非洲三个地区总共占 31.2%,亚洲/太平洋地区占 21.2%,
随着越来越多的企业通过面向公众的应用程序(包括 API 驱动的移动或物联网应用程序)助力新的数字业务,Web 应用安全受到的重视日渐增加。根据 Verizon 的报告,网络应用程序是导致 2017 年数据泄露的头号攻击渠道。
Gartner 在与客户交流 WAF 使用情况时,发现有些客户会将 WAF 与网络防火墙上的应用程序控制功能(应用程序感知)相混淆。WAF 的主要优势和特点就在于防范企业开发的 Web 应用代码中“自己造成的”安全漏洞,同时防范现成的 Web 应用软件中的安全漏洞。如果不使用 WAF,那些主要用于防范已知 exploit 的其他技术将无法防范此类漏洞。此外,调查显示,针对这些企业 Web 应用的攻击大多数来自外部攻击者 。
Gartner 发现需要部署云 WAF 服务和需要部署 WAF 设备的客户之间存在不同的期望:
寻求云 WAF 服务的组织通常期望服务附带多个捆绑功能(特别是DDoS保护,bot 管理和 CDN 等),而这些功能都能通过易于部署且易于操作的软件包实现。此外,他们也愈发需要更深入的安全控制以及更优化的配置选项粒度。但是,对他们而言,部署 WAF 通常需要很多时间,这给他们带来不少压力;
寻找 WAF 设备(物理和虚拟)的组织更有可能已经安装了 WAF 设备。 他们对主动安全模型、高级安全功能以及 WAF 在事件响应工作流程中的集成提出了更高的期望。
WAF 市场趋势
Gartner 观察发现,WAF 市场有以下发展趋势:
来自 ADC 厂商的物理设备销量和 WAF 模块部署数量都在下降;同时,大部分厂商的销量都在经历下降,只有一些供应商在阅收入增加的推动下实现了缓慢的个位数增长;
云 WAF 服务继续稳步增长。目前,云 WAF 市场占整个 2017 年 WAF 市场的 35% 以上。最初就做云 WAF 解决方案的供应商相较于传统供应商具备更强的竞争力。在调查中,提供 WAF 服务的 IaaS 供应商依然处于初级阶段;
更多组织希望使用云 WAF“关注应用程序”;倾向于使用保守方法在本地和 IaaS 上使用相同 WAF 设备的组织也有增加的趋势。此外,多层战略已经纳入整体策略,从而激励人们实现更加统一的管理和报告。
云 WAF 服务更常用于面向公众的应用程序。云 WAF 设备的大规模部署过程很复杂,这仍然是云 WAF 的竞争劣势。 Web 应用程序策略可践行“混合方法”,使用与 WAF 设备最佳实践相同的 WAF 技术来保护内部部署和云托管资产。
此外,WAF 市场还面临相近技术的竞争,并且还更频繁地面临替代方法的挑战。包含传统 WAF 和 RASP 应用工具的解决方案、使用分析后端检测客户群攻击模式的方法、为各个传感器(例如Signal Sciences或tCell)提供更新等多种方式和方法,对于 WAF 而言都是挑战。
Bot 管理正在发展,API 安全性紧随其后
在过去几个月中,区分自动流量与人类客户的能力已成为 WAF 的一项更重要要求。 Bot 程序缓解和合理的僵尸处理已经成为通过审查的功能,WAF 供应商也正在调整产品,赋予产品更多功能。较大的企业针对专业供应商(如 Distil Networks、PerimeterX、Shape Security 和 Stealth Security 等)的 WAF 进行评估,以缓解僵尸攻击。传统的基于知名度检测和指纹控制的技术如今已经足够阻止低端和慢速高级僵尸,因此更多企业在其 RFP 中增加了行为分析的要求。 Gartner 预计 bot 管理(包括 bot 程序缓解和合理的僵尸处理)将成为不久的将来 WAF 评估所注重的核心功能。
API 安全性功能也将经历类似的发展,但目前对于这一功能的市场意识还不够高。此前,许多组织将 API 管理网关视为临时解决方案。Gartner 预测,到 2022 年,“API滥用将成为最常见的攻击媒介,导致企业 Web 应用程序出现数据泄露。”目前只有一些WAF 供应商提供基本的 API 安全功能,这一情况在未来会随着专业 API 安全厂商的出现而有所改善。
完整版报告可参考:Gartner 报告
*AngelaY 编译整理,转载请注明来自 FreeBuf.COM
来源:freebuf.com 2018-09-19 10:30:26 by: AngelaY
请登录后发表评论
注册