Gartner：2017年Web應用防火牆魔力象限

分析師：Jeremy D Hoinne、Adam Hils和Claudio Neiva

摘要：Web應用防火牆（WAF）市場在壯大，這歸因於企業紛紛採用基於雲的WAF服務。企業安全團隊應利用本研究報告，幫助評估WAF在滿足數據隱私需求的同時，如何能夠提供又易於使用和管理的更高安全性。

戰略性規劃假設

到2020年，獨立的WAF硬體設備在新部署的WAF中所佔的比例將從如今的40%減少到不足20%。

到2020年，面向公眾的Web中50%以上將受到基於雲的WAF服務平台的保護，這種服務平台結合CDN、分散式拒絕服務攻擊（DDoS）保護、殭屍緩解服務和WAF，而如今這個比例還不到20%。

市場定義/描述

Web應用防火牆（WAF）市場得益於客戶在本地部署或遠程部署公共和內部的Web應用後需要保護它們，本地部署即on-premises，而遠程部署分託管式、基於雲或XX即服務。WAF可以保護Web應用和API遠離各種攻擊，尤其包括注入攻擊和應用層拒絕服務攻擊（DoS）。它們不僅應該提供基於特徵的防護，還應該支持主動安全模型及/或異常檢測技術。

WAF通常部署在Web伺服器的前面，旨在保護Web應用遠離內外攻擊、監視和控制對Web應用的訪問，以及收集訪問日誌用於合規/審計和分析。WAF最常採用嵌入式部署，作為一種反向代理系統，因為過去那是執行深入檢測工作的唯一途徑。如今存在其他部署模式，比如透明代理或網橋。一些WAF還可以採用帶外部署模式（即OOB或鏡像模式），因而可處理整路的網路流量。並非每一項功能特性在所有這些部署模式下都可以發揮作用；對許多企業組織而言，反向代理是最流行的方案。近些年來，Web應用加大了使用傳輸層安全（TLS）加密的力度――基於需要嵌入式攔截流量（中間人）才能解密的密碼套件（cipher suite），因而減少了OOB部署的數量。

近些年來，對於越來越多的企業而言，由廠商直接作為基於雲的服務來交付的WAF（基於雲的WAF服務）已成為一種更流行的方案，由最初的目標群：中型企業擴大到更廣泛的企業。基於雲的WAF服務將基於雲的部署與訂閱模式結合起來。客戶還可能為基於雲的WAF服務選擇廠商的託管服務，或者因它是解決方案的一個必備部分而被迫使用它。一些廠商已決定充分利用現有的WAF解決方案，重新包裝成SaaS。這讓廠商得以更迅速地向客戶提供基於雲的WAF服務，它們可以利用現有的功能特性，與基於雲的雲原生WAF服務區別開來。這種方法存在的困難之一就是簡化管理和監視控制台，以達到客戶的預期要求。

基於雲的WAF服務一開始就立足於多租戶、基於雲，從長遠來看它可以避免對遺留代碼進行成本高昂的維護。它還提供了競爭優勢，因為發布周期更短，還可以迅速實施創新功能。如果用戶使用獨立開發的基於雲的WAF服務，他們面臨的主要挑戰之一是，缺少統一的管理控制台來支持混合場景。

Gartner就WAF的採用方面與客戶進行交流時注意到，客戶偶爾將WAF與網路防火牆上的應用控制功能（應用感知）相混淆。WAF的主要好處就是可以防範企業開發的Web應用代碼中「自己造成的」安全漏洞，並且防範現成Web應用軟體中的安全漏洞。這些安全漏洞不然無法得到主要防範已知安全漏洞的其他技術的保護。針對這些企業應用的攻擊大多數來自外部攻擊者。

該魔力象限包括部署在Web應用的外面，並不直接整合在Web伺服器上的WAF：

專門定製的物理、虛擬或軟體設備

嵌入在應用交付控制器（ADC）中的WAF模塊

基於雲的WAF服務，包括嵌入在更龐大的平台（比如內容分發網路即CDN）中的WAF模塊

基礎設施即服務（IaaS）平台上的虛擬設備，以及IaaS提供商提供的WAF服務

API網關、殭屍管理（包括壞殭屍緩解和好殭屍白名單機制）以及運行時應用自我保護（RASP）是WAF市場的毗鄰產品，可能在與WAF爭奪同樣的應用安全預算。這激勵WAF廠商在合適的時候從這些毗鄰市場添加相關功能；比如說，基於雲的WAF服務常常結合Web應用安全和分散式拒絕服務（DDoS）防護及CDN。WAF能夠與其他企業安全技術整合起來，比如應用安全測試（AST）、資料庫監視或安全信息及事件管理（SIEM），這種功能支持其在企業市場有強勁的表現。WAF與ADC、CDN或DdoS緩解雲服務等其他技術整合起來，帶來了獨特好處的同時也帶來了獨特挑戰。然而，說到選購Web應用安全技術，本市場評估更側重於顧客的安全要求。這尤其包括WAF技術在以下幾方面的表現：

最大限度地提高已知和未知威脅的檢測和捕獲率

最大限度地減少誤報，並且靈活適應不斷變化的Web應用

藉助易於使用和影響最小的優點，確保得到更廣泛的採用

使事件響應工作流程實現自動化，幫助Web應用安全分析員

保護面向公眾和內部使用的Web應用及API

尤其是，Gartner認真分析了這些功能和創新，看看它們能否提升Web應用的安全性，而不是僅限於像網路防火牆、入侵檢測系統（IPS）以及開源/免費WAF（比如ModSecurity）通過利用普通特徵規則集那樣來確保安全。

2017年Web應用防火牆魔力象限：

2016年Web應用防火牆魔力象限：

2015年Web應用防火牆魔力象限：

2014年Web應用防火牆魔力象限：

新增和跌出的廠商

隨著市場不斷變化，我們審查並調整了魔力象限的入圍標準。由於這番調整，任何魔力象限中的廠商組合可能會隨著時間的推移而變化。一家廠商今年出現在魔力象限上、下一年消失，這未必表明我們改變了對這家廠商的看法。這可能體現了市場發生了變化、評估標準發生了變化，或者該廠商的重心發生了變化。

新增：

新增的廠商有亞馬遜網路服務（AWS）、Instart Logic和Venustech。

DenyAll已被Rohde & Schwarz Cybersecurity收購。

跌出：

AdNovum、Trustwave和United Security Providers這三家廠商未滿足今年最新版的入圍標準。

DenyAll已被Rohde & Schwarz Cybersecurity收購。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！