Gartner 2018 年WAF魔力象限報告：雲WAF持續增長

8 月 29 日，Gartner 發布 2018 年度 Web 應用防火牆（WAF）魔力象限，這是 Gartner 自 2014 年之後連續第五年發布此類報告。報告中照例描述了全球 WAF 市場整體狀況，並對主要 WAF 廠商進行了詳細的優缺點分析。今年 Gartner 的評判標準有所提高，並對未來 WAF 市場的趨勢做出了新的預測。

本份報告依舊為為企業安全團隊提供了參考，可用於評估 WAF 如何在滿足數據隱私需求的情況下，為企業提供易於使用和管理的安全服務。

近年來，企業紛紛採取雲 WAF 服務來保護自己的業務安全，帶動 WAF 市場的不斷增長。2017 年的 Gartner WAF 魔力象限所得出的結論是雲 WAF 將替代物理設備成為主流，這一結論在 2018 年 Gartner WAF 魔力象限報告中得到了驗證。

戰略規劃展望

到 2020 年，獨立的 WAF 硬體設備在新部署的 WAF 中所佔的比例將不到 20%，明顯低於目前的 35%。

到 2023 年，30% 以上面向公眾的 Web應用將受到雲 Web 應用和 API 保護（WAAP）服務的保護，與目前的 10% 相比將有巨大提升。分散式拒絕服務（DDoS）防禦、bot 環節服務、API 保護和 WAF 等功能，可以為 Web 應用提供更好的安全保護。

WAF 市場現狀

客戶對於保護公共和內部 Web 應用的需求推動了 WAF 市場。 WAF 可保護 Web 應用和 API 遠離自動化攻擊（機器人程序）、注入攻擊和應用層拒絕服務（DoS）等多種攻擊。合格的 WAF 不僅提供基於特徵的防護，還應支持主動安全模型（自動白名單）及/或異常檢測。

WAF 通常部署在 Web 伺服器的前端，旨在保護 Web 應用遠離內部和外部的攻擊、監控 Web 應用的訪問，同時收集訪問日誌用於合規/審計和分析。WAF 通常以物理或虛擬設備的形式存在，現在已經逐漸通過雲 WAF 服務的方式交付。WAF 最常以反向代理的方式進行嵌入式部署，因為以往反向代理是執行深入檢測的唯一途徑。目前，WAF 還可以採用其他部署模式。當前形勢下，雲 WAF 服務的興起、有意設置反向代理來執行任務以及採用更新穎的需要解密嵌入式流量攔截（中間人攻擊）的傳輸層安全（TLS）套件等都加大了反向代理的使用。

雲WAF 服務將由雲交付的 XX即服務部署與訂閱模式結合起來。雲WAF服務提供商可以提供託管服務；對於一些客戶來說，它是使用 WAF的必備組件。一些供應商選擇利用現有的 WAF 解決方案，將其重新包裝成 SaaS。這使得供應商能夠更快地向客戶提供雲 WAF 服務，而且可以利用現有功能，有別於功能特性相對有限的雲原生 WAF 服務產品。這種方法的一個難點是簡化管理和監控控制台，繼承全面的 WAF 設備功能特性，以滿足客戶對易用性的期望，又不縮小安全範圍。Gartner 將雲 Web 應用和 API保 護（雲 WAAP）服務定義為現有雲 WAF 服務的演進。從長遠來看，雲 WAF 服務一開始就採用多租戶模式、以云為中心，避免了花高昂的成本來維護遺留代碼。它們還提供競爭優勢，更快的發布周期，迅速實施創新的功能。一些企業使用由 WAF 設備構建的雲 WAF 服務，這麼做是為了獲得統一的管理和報告控制台。

該魔力象限包括部署在 Web 應用程序外部而不直接集成到 Web 伺服器上的 WAF：

專用的物理、虛擬或軟體設備；

嵌入在應用交付控制器（ADC）中的WAF模塊；

雲 WAF 服務，包括嵌入在較大雲平台中的 WAF 模塊（比如內容交付網路，CDN），以及直接從基礎設施即服務（IaaS）平台交付的雲 WAF 服務；

IaaS平台上提供的虛擬設備，以及來自 IaaS 提供商的 WAF 解決方案。

API網關、bot 管理（包括惡意 bot 防範和善意 bot 白名單機制）以及 RASP 可以算是 WAF 服務的競品，可能會與 WAF 服務爭奪客戶。這可以激勵 WAF 廠商在合適的時機為 WAF 服務增添競品的功能。例如，基於雲的 WAF 服務可以將 Web 應用安全和 DDoS 防護及 CDN 結合在一起。WAF 能夠與安全測試（AST）、Web 訪問管理（WAM）或安全信息和事件管理（SIEM）等其他企業安全技術結相合，這一特點讓 WAF 在市場上佔據上風。WAF 與 ADC、CDN 或 DDoS 防護雲服務等其他技術結合，既能帶來優勢也能帶來挑戰。然而，說到 Web 應用安全，市場評估更側重於顧客的安全需求。因而，WAF 技術在以下幾方面的表現就比較重要：

盡量提高已知和未知威脅的檢測率和捕獲率；

盡量減少虛假警報（誤報），並靈活適應不斷發展的 Web 應用；

可區別自動化流量和人類用戶，並對這兩類流量實施適當的控制；

藉助易於使用和影響最小的優點，促進 WAF 得到更廣泛的應用；

實現事件響應工作流程自動化，幫助 Web 應用安全分析員高效工作；

不光保護內部使用的 Web 應用和 API，還保護面向公眾的 Web 應用和 API；

Gartner 充分利用通用特徵規則集，認真分析了這些功能和創新技術，檢測它們提升 Web 應用安全的功效。這些功能和技術的效果超出了網路防火牆、入侵檢測系統（IPS）以及開源/免費 WAF（如 ModSecurity）等通過利用普通簽名規則集所達到的安保效果。

Gartner加強了入圍今年 Web 應用防火牆魔力象限的標準，體現企業在選擇 WAF 提供商時不斷變化的要求。經過更新的標準包括要求廠商在本埠之外的區域有最基本的收入，因此一些本地廠商被排除在外。

魔力象限

圖1 WAF 魔力象限 2018

圖2 WAF 魔力象限 2017

今年的 WAF 魔力象限如上圖所示，其中：

處於 Leader 象限的廠商有： Akamai、Imperva；

處於 Challenger 象限的廠商有：F5、Fortinet、Cloudflare、Citrix、Barracuda Networks；

處於 Niche Players 象限的廠商有：Instart、Amazon Web Services、Rohde & Schwarz Cybersecurity、Ergon Informatik、Microsoft；

處於 Visionarie 象限的廠商的有：Oracle 和 Radwarea

廠商增減

2018 年，Gartner 更新了魔力象限准入標準，以便反應企業更真實更迫切的需求。其中一項要求就是廠商要在本埠之外也有客戶群。Gartner 觀察到越來越多的小型供應商在本地區與開展業務，更多的 CDN 和 ADC 供應商將 WAF 作為一項功能添加到產品或服務當中。為了反映全球 WAF 需求方的更嚴格要求，本次魔力象限包要求 WAF 供應商必須有超過 5％ 的客戶群位於其本國區域之外，這個標準值得注意。

由於標準有所變化，本年度的 WAF 魔力象限中的廠商也有所增減。

新增的廠商有：

Microsoft (Azure)

Oracle (收購了 Zenedge)

相較去年未上榜的廠商有：

NSFOCUS

Penta Security

Positive Technologies

Venustech

此外，F5 從 2017 年的 Leaders 象限跌到了 Challenger 的象限。

Gartner 關於 Leaders 象限的 Imperva 以及 Akamai 的簡介與評估如下，相關廠商可以用於參考。

Imperva

Imperva 是一家應用程序、資料庫和文件安全供應商，其產品組合包括資料庫安全產品（SecureSphere Data Protection 和 Database Audit and CounterBreach），WAF 設備（SecureSphere WAF）和雲 WAF 服務（Incapsula）。 Imperva 還提供託管安全服務和託管 SOC。

Gartner 認為 Imperva 的優勢首先在於其營銷策略。它不僅為具有內部部署和雲託管應用程序組合的組織提供靈活的產品或服務搭配，還是少有的同時提供 WAF 設備和雲 WAF 服務的供應商。同時，Imperva 還注重客戶體驗，在產品上搭載 ThreatRadar 的共享威脅情報，且不斷更新改進。在地理戰略上，Imperva 在大多數地區都提供產品和持續有效的支持，近期在亞太地區的表現尤為突出。

但值得注意的是，由於 Imperva 正在經歷眾多組織變革，因此其發布速度有所放緩，且市場響應能力需要加強。同時，客戶對於其雲 WAF 服務有更多的期待，如單點登錄（SSO）以及更詳細靈活的固定報告等。客戶認為，當前 Imperva 的雲 WAF 服務尚不能與其設備產品線涵蓋的安全功能的深度和廣度相匹配，且覆蓋面不夠廣泛，部分產品定價較高。此外，高級功能對應的管理控制台依然複雜、跨站點和多域管理與報告有限等問題也是客戶希望改進的問題。

Akamai

Akamai 是一家全球 CDN 提供商，有專門研究 Web 應用程序安全的團隊。除了 WAF（Kona Site Defender）之外，Akamai 還提供其他安全服務，包括應用程序訪問控制（企業應用程序訪問）、託管 DDoS 清理服務（Prolexic）、API 網關（Akamai API網關）和 DNS 服務（快速 DNS）等 。 Akamai 還提供精簡版和低成本的 Kona Site Defender 版本，也就是 Web 應用防護（WAP）。

Gartner 認為 Akamai 的優勢在於不斷開發和改進其 Web應用程序安全解決方案，並不斷發展威脅研究和安全運營中心（SOC）團隊。在雲服務方面，Akamai 提供廣泛的產品組合，適用於需求不同的用戶。Akamai 在北美和歐洲都有廣泛的業務網，能夠對其處理的整個流程自動分析和分類，為客戶提供託管服務等，這些都收穫了較好的口碑。

同時，值得注意的是，Akamai 的 WAF 服務僅僅通過雲的方式提供，這就無形中少了很多不使用或不方便使用雲安全解決方案的客戶。此外，Akamai 的 WAF 服務定價相對較高且捆綁很多選項。其政策管理系統體驗較差，且沒有有效方法測試更新的規則，在安全自動化以及主動安全模型方面也有所欠缺。

報告背景

Gartner 認為，客戶企業及組織應當結合自身情況，綜合考慮每個象限中廠商，基於功能和實際需求來選擇產品和服務。事實上，WAF 市場中有很多規模較小的供應商，或者供應商的 WAF 業務只佔到所有業務的很小一部分。如果客戶需要選擇 WAF 產品或服務，還需要考慮到自身的特殊需求，如部署方式、部署規模、合規、機密業務泄露風險、客戶 Web 應用以及廠商的本地支持和市場熟悉程度等。

考慮部署 WAF 的安全管理專家應當首先考慮自身的部署限制，尤其要考慮以下幾個方面：

是否能接受在 Web 應用中全面部署反向代理類嵌入式 WAF，因為這類 WAF 有屏蔽功能；

考慮不同 WAF 交付（針對專用應用、CDN、ADC以及雲服務等）的優勢和不足（ 特定應用、CDN、ADC、雲服務）

SSL 解密/重加密以及其他擴展需求

WAF 市場概覽

據 Gartner 估計，2018 年 WAF 市場總值將達到 8 億 5300 萬美元，與 2017 年的 7 億 6200 萬美元相比增長了 11.9%。其中，美洲市場份額佔總市場的 47.6% ，歐洲、中東、非洲三個地區總共占 31.2%，亞洲/太平洋地區占 21.2%，

隨著越來越多的企業通過面向公眾的應用程序（包括 API 驅動的移動或物聯網應用程序）助力新的數字業務，Web 應用安全受到的重視日漸增加。根據 Verizon 的報告，網路應用程序是導致 2017 年數據泄露的頭號攻擊渠道。

Gartner 在與客戶交流 WAF 使用情況時，發現有些客戶會將 WAF 與網路防火牆上的應用程序控制功能（應用程序感知）相混淆。WAF 的主要優勢和特點就在於

防範企業開發的 Web 應用代碼中「自己造成的」安全漏洞，同時防範現成的 Web 應用軟體中的安全漏洞。如果不使用 WAF，那些主要用於防範已知 exploit 的其他技術將無法防範此類漏洞。此外，調查顯示，針對這些企業 Web 應用的攻擊大多數來自外部攻擊者

。

Gartner 發現需要部署雲 WAF 服務和需要部署 WAF 設備的客戶之間存在不同的期望：

尋求雲 WAF 服務的組織通常期望服務附帶多個捆綁功能（特別是DDoS保護，bot 管理和 CDN 等），而這些功能都能通過易於部署且易於操作的軟體包實現。此外，他們也愈發需要更深入的安全控制以及更優化的配置選項粒度。但是，對他們而言，部署 WAF 通常需要很多時間，這給他們帶來不少壓力；

尋找 WAF 設備（物理和虛擬）的組織更有可能已經安裝了 WAF 設備。 他們對主動安全模型、高級安全功能以及 WAF 在事件響應工作流程中的集成提出了更高的期望。

WAF 市場趨勢

Gartner 觀察發現，WAF 市場有以下發展趨勢：

來自 ADC 廠商的物理設備銷量和 WAF 模塊部署數量都在下降；同時，大部分廠商的銷量都在經歷下降，只有一些供應商在閱收入增加的推動下實現了緩慢的個位數增長；

雲 WAF 服務繼續穩步增長。目前，雲 WAF 市場占整個 2017 年 WAF 市場的 35% 以上。最初就做雲 WAF 解決方案的供應商相較於傳統供應商具備更強的競爭力。在調查中，提供 WAF 服務的 IaaS 供應商依然處於初級階段；

更多組織希望使用雲 WAF「關注應用程序」；傾向於使用保守方法在本地和 IaaS 上使用相同 WAF 設備的組織也有增加的趨勢。此外，多層戰略已經納入整體策略，從而激勵人們實現更加統一的管理和報告。

雲 WAF 服務更常用於面向公眾的應用程序。雲 WAF 設備的大規模部署過程很複雜，這仍然是雲 WAF 的競爭劣勢。 Web 應用程序策略可踐行「混合方法」，使用與 WAF 設備最佳實踐相同的 WAF 技術來保護內部部署和雲託管資產。

此外，WAF 市場還面臨相近技術的競爭，並且還更頻繁地面臨替代方法的挑戰。包含傳統 WAF 和 RASP 應用工具的解決方案、使用分析後端檢測客戶群攻擊模式的方法、為各個感測器（例如Signal Sciences或tCell）提供更新等多種方式和方法，對於 WAF 而言都是挑戰。

Bot 管理正在發展，API 安全性緊隨其後

在過去幾個月中，區分自動流量與人類客戶的能力已成為 WAF 的一項更重要要求。 Bot 程序緩解和合理的殭屍處理已經成為通過審查的功能，WAF 供應商也正在調整產品，賦予產品更多功能。較大的企業針對專業供應商（如 Distil Networks、PerimeterX、Shape Security 和 Stealth Security 等）的 WAF 進行評估，以緩解殭屍攻擊。傳統的基於知名度檢測和指紋控制的技術如今已經足夠阻止低端和慢速高級殭屍，因此更多企業在其 RFP 中增加了行為分析的要求。 Gartner 預計 bot 管理（包括 bot 程序緩解和合理的殭屍處理）將成為不久的將來 WAF 評估所注重的核心功能。

API 安全性功能也將經歷類似的發展，但目前對於這一功能的市場意識還不夠高。此前，許多組織將 API 管理網關視為臨時解決方案。Gartner 預測，到 2022 年，「API濫用將成為最常見的攻擊媒介，導致企業 Web 應用程序出現數據泄露。」目前只有一些WAF 供應商提供基本的 API 安全功能，這一情況在未來會隨著專業 API 安全廠商的出現而有所改善。

完整版報告可參考：Gartner 報告（點擊底部閱讀原文查看）

*AngelaY 編譯整理，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！