Gartner 2018年Web 應用防火牆魔力象限：獨立 WAF 市場將萎縮

科技 09-08

由於企業紛紛採用雲Web應用伺服器（WAF）服務，WAF市場一路增長。企業的安全團隊應利用此研究報告來評估WAF如何提供易於使用和管理的更高安全性，同時滿足數據隱私要求。

戰略規劃假設

到2020年，獨立的Web應用防火牆（WAF）硬體設備在新部署的WAF中所佔的比例將不到20%，比現在的35%明顯減少。

到2023年，30%以上面向公眾的Web應用將受到雲Web應用和API保護（WAAP）服務的保護，這種服務結合了分散式拒絕服務（DDoS）保護、機器人程序應對、API保護和WAF，而今天這個比例不到10%。

市場定義/描述

客戶需要保護公共和內部的Web應用，因此推動了Web應用防火牆（WAF）市場。 WAF可保護Web應用和API免受各種攻擊，包括自動化攻擊（機器人程序）、注入攻擊和應用層拒絕服務（DoS）。它們應提供基於特徵的保護，還應支持積極的安全模型（自動白名單）及/或異常檢測。

WAF部署在Web伺服器的前面，保護Web應用免受內外攻擊、監控對Web應用的訪問以及收集訪問日誌用於合規/審計和分析。WAF以物理或虛擬設備的形式存在，日益從雲端以服務（雲WAF服務）這種方式來提供。WAF最常採用嵌入式部署，作為反向代理，因為以往這是執行一些深入檢查的唯一方法。還有其他部署方案。雲WAF服務的興起、有意作為反向代理來執行任務以及採用更新穎的需要解密嵌入式流量攔截（中間人攻擊）的傳輸層安全（TLS）套件，這些都加大了反向代理的使用。

雲WAF服務將由雲交付的XX即服務部署與訂閱模式結合起來。雲WAF服務提供商可以提供託管服務；對於一些客戶來說，它是使用WAF的必備組件。一些供應商選擇利用現有的WAF解決方案，將其重新包裝成SaaS。這使供應商能夠更快地向客戶提供雲WAF服務，而且可以利用現有功能，有別於功能特性相對有限的雲原生WAF服務產品。這種方法的一個難點是簡化管理和監控控制台，繼承全面的WAF設備功能特性，以滿足客戶對易用性的期望，又不縮小安全範圍。Gartner將雲Web應用和API保護（雲WAAP）服務定義為現有雲WAF服務的演進。從長遠來看，雲WAF服務一開始就採用多租戶模式、以云為中心，避免了花高昂的成本來維護遺留代碼。它們還提供競爭優勢，更快的發布周期，迅速實施創新的功能。一些企業使用由WAF設備構建的雲WAF服務，這麼做是為了獲得統一的管理和報告控制台。

該魔力象限包括部署在Web應用程序外部而不直接集成到Web伺服器上的WAF：

專用的物理、虛擬或軟體設備。

嵌入在應用交付控制器（ADC）中的WAF模塊。

雲WAF服務，包括嵌入在較大雲平台中的WAF模塊（比如內容交付網路，CDN），以及直接從基礎設施即服務（IaaS）平台交付的雲WAF服務。

IaaS平台上提供的虛擬設備，以及來自IaaS提供商的WAF解決方案。

API網關和運行時應用自我保護（RASP）是WAF的兩個周邊市場，可能會爭奪同樣的應用安全預算。這促使WAF供應商在適當時添加來自這些市場的相關功能。比如說，雲WAF服務通常將Web應用安全與DDoS保護和CDN捆綁起來。WAF能夠與其他企業安全技術（比如應用安全測試即AST、Web訪問管理即WAM或安全信息和事件管理即SIEM）集成起來，這項功能支持它在企業市場的強大地位。將WAF與其他技術（比如ADC、CDN或DDoS緩解雲服務）整合帶來了獨有的優點和挑戰。不過說到Web應用安全性，該市場評估更側重於買家的安全要求。這包括WAF技術如何做到以下：

盡量提高已知和未知威脅的檢測率和捕獲率。

盡量減少虛假警報（誤報），並適應不斷發展的Web應用。

可區別自動化流量和人類用戶，並對這兩類流量實施適當的控制。

通過易用性和最小的性能影響確保更廣泛的採用。

實現事件響應工作流程自動化，幫助Web應用安全分析員。

不光保護內部使用的Web應用和API，還保護面向公眾的Web應用和API。

Gartner充分利用通用特徵規則集，仔細檢查了這些功能和創新，以比較它們提高Web應用安全性的功能，並不僅僅局限於網路防火牆、入侵防禦系統（IPS）和開源/免費WAF（比如ModSecurity）的功能。

Gartner加強了入圍今年Web應用防火牆魔力象限的標準，體現企業在選擇WAF提供商時不斷變化的要求。經過更新的標準包括要求廠商在本埠之外的區域有最基本的收入，因此一些本地廠商被排除在外。