×
支持199IT发展可加入知识交流群(10K+用户),最有价值数据分享!
点击即可加入!
关闭

Gartner:2020年Web应用防火墙魔力象限

Gartner称,到2023年,30%以上的面向公众的Web应用程序和API将受到云Web应用程序和API保护(WAAP)服务的保护,这种服务结合了分布式拒绝服务(DDoS)保护、机器人程序缓解(bot mitigation)、API保护和Web应用防火墙(WAF)。而今天这个比例不足15%。

到2024年,大多数在生产环境中为Web应用程序实施多云策略的组织将仅使用云WAAP服务。

市场定义/说明

WAF市场的发展缘于客户需要保护内外的Web应用程序。WAF保护Web应用程序和API免受各种攻击,包括自动机器人程序、注入攻击和应用层拒绝服务(DoS)攻击。它们应提供基于特征(signature)的防护,还应支持主动安全模型(自动化允许列表)及/或异常检测。

可部署WAF以保护Web应用程序免受内外攻击、监控和验证对Web应用程序的访问,并收集访问日志用于合规/审查和分析工作。WAF有物理设备或虚拟设备两种。它们日益以WAAP的形式从云端提供。WAF最常作为反向代理以内嵌(in-line)方式加以部署,这是执行全面检查和策略执行的最简单方法。其他部署方法包括反向代理和负载均衡系统上的WAF插件,或网络分路器(tap)部署。WAAP服务日渐在设计上作为反向代理来运行,以及采用需要内嵌式流量拦截(比如中间人)以便解密的最新传输层安全(TLS)套件,这都加强了反向代理的使用。

Gartner将WAAP服务定义为云WAF服务的演进版。WAAP服务将通过云提供,作为服务来部署的WAF、机器人程序缓解、DDoS保护和API安全与订购模式结合在一起。WAAP提供商可提供托管服务,对于一些企业来说,这是此类产品的一个必备组件。WAAP源于WAF供应商扩展到云和CDN供应商添加WAF。最近,这些供应商已开发或收购了机器人程序缓解功能,正努力增强API安全功能。许多供应商提供WAAP的多个版本,常常分为简单易用的版本和可灵活配置的版本。

一些组织选择了由WAF设备构建的WAAP,这么做是为了获得统一的管理和报告控制台,或者获得云原生WAAP服务尚未提供的高级功能(比如主动安全模型)。

该魔力象限包括Web应用程序前面或旁边部署在外部,并不直接集成在Web服务器上的WAF:

  • 专门定制的物理、虚拟或软件设备
  • 嵌入在应用交付控制器(ADC)中的WAF模块
  • WAAP,包括嵌入在较大云平台(比如内容分发网络即CDN)中的WAF模块,以及直接从基础架构即服务(IaaS)平台提供商提供的云WAF服务
  • IaaS平台上可用的虚拟设备以及来自IaaS提供商的WAF解决方案

独立的机器人程序缓解解决方案、API网关和专用API保护解决方案以及运行时应用自我保护(RASP)是WAF市场的相邻产品,可能会争夺同样的安全预算。这促使WAF供应商在适当的时候添加来自这些市场的相关功能。比如说,WAAP可能捆绑Web应用安全CDN。

WAF能够与其他企业安全技术整合,比如应用安全测试(AST)、Web访问管理(WAM)或安全信息及事件管理(SIEM),助力WAF在企业市场有强大的地位。

整合WAF与ADC、CDN或DDoS缓解云服务等技术带来了自身的好处和挑战。然而说到Web应用安全,这份市场评估更多地侧重于买家的安全需求上。这包括WAF技术如何:

  • 最大限度地提高已知和未知威胁的检测率和捕获率
  • 最大限度地减少错误警报(即误报),并适应不断变化的Web应用程序
  • 将自动流量与真人用户区分开来,并对这两种流量都实行适当的控制
  • 借助易用性和最小性能影响,确保得到更广泛的采用
  • 使事件响应工作流程实现自动化,以帮助Web应用安全分析员
  • 保护面向公众、面向合作伙伴以及内部使用的Web应用程序和API。

Gartner仔细检查了这些功能和创新,分析它们利用一般特征的规则集来改善Web应用安全的功能,而不仅限于网络防火墙、入侵防御系统(IPS)或开源/免费WAF(比如ModSecurity)所提供的功能。

由于许多本地安全提供商、CDN和ADC可能添加ModSecurity引擎,并使用其中一套可用的规则集,因此如今市面上有大量的WAF解决方案可供使用。

Gartner的象限入围和排除标准包括要求从供应商所在地区之外的地方获得至少一定数量的收入,以及要求云WAF服务拥有至少一定数量的客户。这不可避免地导致一些规模较小或区域性较强的供应商被排除在外。

Gartner 2020年Web应用防火墙魔力象限:

Gartner 2019年Web应用防火墙魔力象限:
市场概况

WAF市场仍然充满活力,许多提供商声称迎来两位数的强劲增长。Gartner观察到,新冠疫情初期市场出现了短暂的放缓,随后迅速恢复正常,2020年上半年最终用户的WAF咨询量增加了20%。
WAF设备是沉默的大多数:Gartner客户咨询大多数涉及选择WAAP产品。然而Gartner估计,大多数现有的WAF部署是物理设备或虚拟设备这种形式。在北美以外的市场和较传统的Web应用程序当中尤其如此,即便部署在IaaS上时。出现的变化是,尽管目前占有市场份额,但大多数提供商现在都优先考虑开发WAAP产品。规划路线图时,提供商偏爱以这两种部署形式都能提供的功能。
WAAP是新应用程序的主解决方案:Gartner观察到WAAP架构越来越重要。出现了分化,一派是基于IaaS基础设施(“云租赁”)的WAAP,这有时看起来像是一系列WAF设备产品,另一派是基于专有基础设施(“云拥有”)的分布式WAAP。添加新功能并利用大规模数据来馈送学习算法时,后一种架构方式往往让用户可以更快地移动。单站点(或区域)方法常常存在集中管理扩展到WAAP之外的情况。采用混合WAF部署的客户常常青睐这种方法。有大量云托管的Web应用程序和API要保护的客户往往青睐分布式WAAP,这种方法更常与CDN和受欢迎的DDoS保护附件捆绑在一起。
未来两年将决定WAAP是否能引领API安全:2019年是机器人程序缓解供应商的收购年:Radware在1月份收购了ShieldSquare,Imperva在6月份收购了Distil Networks,Barracuda在8月份收购了InfiSecure,F5在12月份收购了Shape Security。这一系列的收购极大地推动了机器人缓解功能市场的平均水准,充分利用了现在广泛可用的所收购技术。Gartner预计下一步将是API安全:客户已经可以享用早期版本的主动安全模型的模式验证以及对API协议的额外支持。然而,WAF提供商将不得不面临来自API网关提供商的竞争,还要确保它们“足够好”,能够发现、监测和保护关键API和服务网格。寻求WAF设备和WAAP解决方案的企业在评估时尚未认真考虑API安全这方面,但Gartner预计这种情况在未来两年会发生变化。

感谢支持199IT
我们致力为中国互联网研究和咨询及IT行业数据专业人员和决策者提供一个数据共享平台。

要继续访问我们的网站,只需关闭您的广告拦截器并刷新页面。
滚动到顶部