Gartner称,到2023年,30%以上的面向公众的Web应用程序和API将受到云Web应用程序和API保护(WAAP)服务的保护,这种服务结合了分布式拒绝服务(DDoS)保护、机器人程序缓解(bot mitigation)、API保护和Web应用防火墙(WAF)。而今天这个比例不足15%。
到2024年,大多数在生产环境中为Web应用程序实施多云策略的组织将仅使用云WAAP服务。
WAF市场的发展缘于客户需要保护内外的Web应用程序。WAF保护Web应用程序和API免受各种攻击,包括自动机器人程序、注入攻击和应用层拒绝服务(DoS)攻击。它们应提供基于特征(signature)的防护,还应支持主动安全模型(自动化允许列表)及/或异常检测。
可部署WAF以保护Web应用程序免受内外攻击、监控和验证对Web应用程序的访问,并收集访问日志用于合规/审查和分析工作。WAF有物理设备或虚拟设备两种。它们日益以WAAP的形式从云端提供。WAF最常作为反向代理以内嵌(in-line)方式加以部署,这是执行全面检查和策略执行的最简单方法。其他部署方法包括反向代理和负载均衡系统上的WAF插件,或网络分路器(tap)部署。WAAP服务日渐在设计上作为反向代理来运行,以及采用需要内嵌式流量拦截(比如中间人)以便解密的最新传输层安全(TLS)套件,这都加强了反向代理的使用。
Gartner将WAAP服务定义为云WAF服务的演进版。WAAP服务将通过云提供,作为服务来部署的WAF、机器人程序缓解、DDoS保护和API安全与订购模式结合在一起。WAAP提供商可提供托管服务,对于一些企业来说,这是此类产品的一个必备组件。WAAP源于WAF供应商扩展到云和CDN供应商添加WAF。最近,这些供应商已开发或收购了机器人程序缓解功能,正努力增强API安全功能。许多供应商提供WAAP的多个版本,常常分为简单易用的版本和可灵活配置的版本。
一些组织选择了由WAF设备构建的WAAP,这么做是为了获得统一的管理和报告控制台,或者获得云原生WAAP服务尚未提供的高级功能(比如主动安全模型)。
该魔力象限包括Web应用程序前面或旁边部署在外部,并不直接集成在Web服务器上的WAF:
- 专门定制的物理、虚拟或软件设备
- 嵌入在应用交付控制器(ADC)中的WAF模块
- WAAP,包括嵌入在较大云平台(比如内容分发网络即CDN)中的WAF模块,以及直接从基础架构即服务(IaaS)平台提供商提供的云WAF服务
- IaaS平台上可用的虚拟设备以及来自IaaS提供商的WAF解决方案
独立的机器人程序缓解解决方案、API网关和专用API保护解决方案以及运行时应用自我保护(RASP)是WAF市场的相邻产品,可能会争夺同样的安全预算。这促使WAF供应商在适当的时候添加来自这些市场的相关功能。比如说,WAAP可能捆绑Web应用安全CDN。
WAF能够与其他企业安全技术整合,比如应用安全测试(AST)、Web访问管理(WAM)或安全信息及事件管理(SIEM),助力WAF在企业市场有强大的地位。
整合WAF与ADC、CDN或DDoS缓解云服务等技术带来了自身的好处和挑战。然而说到Web应用安全,这份市场评估更多地侧重于买家的安全需求上。这包括WAF技术如何:
- 最大限度地提高已知和未知威胁的检测率和捕获率
- 最大限度地减少错误警报(即误报),并适应不断变化的Web应用程序
- 将自动流量与真人用户区分开来,并对这两种流量都实行适当的控制
- 借助易用性和最小性能影响,确保得到更广泛的采用
- 使事件响应工作流程实现自动化,以帮助Web应用安全分析员
- 保护面向公众、面向合作伙伴以及内部使用的Web应用程序和API。
Gartner仔细检查了这些功能和创新,分析它们利用一般特征的规则集来改善Web应用安全的功能,而不仅限于网络防火墙、入侵防御系统(IPS)或开源/免费WAF(比如ModSecurity)所提供的功能。
由于许多本地安全提供商、CDN和ADC可能添加ModSecurity引擎,并使用其中一套可用的规则集,因此如今市面上有大量的WAF解决方案可供使用。
Gartner的象限入围和排除标准包括要求从供应商所在地区之外的地方获得至少一定数量的收入,以及要求云WAF服务拥有至少一定数量的客户。这不可避免地导致一些规模较小或区域性较强的供应商被排除在外。
Gartner 2020年Web应用防火墙魔力象限:
更多阅读:
