Gartner 报告 | Web 应用防火墙需要哪些关键能力？

随着越来越多的企业陆续上云，并通过云平台为用户提供服务，云端的 Web 应用程序防火墙（WAF）服务开始逐渐变得流行起来。面对与传统部署截然不同的环境和新的安全威胁，云端 WAF 服务不仅需要为 Web 应用提供最基础的保护，同时也要能帮助企业更好地实现安全与风险管理，满足全球各地不同行业日趋严格的要求。

最近，Gartner 对提供云端 WAF 服务的九大供应商进行了一次横向对比，其中 Akamai 云端 WAF 解决方案在 Web 规模的关键业务应用程序和移动应用程序方面分别获得了3.70和3.38的最高分（满分均为5分）。

接下来小编就带你一起来看看这份报告都说了什么。

重要发现

• 保护面向公众的 Web 应用程序防范攻击，以及对自定义或第三方代码中漏洞的利用，这已成为云端 WAF 服务的主要使用场景。
• 云端 WAF 服务的市场极为多样化，其中既包含来自 CDN 和 IaaS 服务提供商的产品，也包含云原生 WAF 服务，以及通过虚拟装置方式提供的 WAF 服务。
• 云端 WAF 服务通常还包含基于签名的 WAF、DDoS 保护以及基本的爬虫缓解功能，如声誉控制或设备指纹。此外，一些供应商还会在其中捆绑与安全无关的功能，如内容交付网络。
• 对于本次调研中所评估的技术，为 API 流量提供保护的能力均不是很成熟。API 安全性正变得日益重要，尤其是移动应用程序更要注意此类问题。

当前现状

根据 Gartner 的估计，到2020年，独立 WAF 硬件装置的部署份额在新增 WAF 部署中的所占比例将低于20%（目前这一比例为40%），届时将有超过50%面向公众的 Web 应用程序将由云端 WAF 服务平台提供保护，并且这样的保护将会与 CDN、DDoS 保护、爬虫缓解等能力相结合。

对于需要评估云端 WAF 解决方案的企业安全与风险管理负责人来说，必须首先确保所选的云端 WAF 解决方案不会违反任何管控制度或内部策略的要求。如果要为多个应用程序选择 WAF 解决方案，则必须了解不同 Web 应用程序的用途或规模，这些都会对解决方案产生不同的需求。

对于每家企业，所遇到的具体需求和挑战主要取决于不同的用例，但也取决于组织对品牌声誉的重视程度和所处理的具体数据类型。例如，大型 B2C 应用程序无疑会面临更多由爬虫发起的自动化攻击，而将自己网站托管在第三方 CMS 系统上的组织也更容易因为注入漏洞而面临更多数据外泄隐患。

相比独立装置的 WAF 硬件，云端 WAF 服务在部署的简易程度、可扩展性，以及不同功能和系统（如 DDoS 防护、CDN 性能优化等）的无缝结合等方面天然具备更大优势。

对比结果

Gartner 本次通过三个典型使用场景，对比了来自 Akamai、Cloudflare、AWS 等九家厂商的 WAF 解决方案，Akamai WAF 解决方案在其中的两个场景中的得分名列前茅。

Web 规模的关键业务应用程序：

该场景主要针对可跨越多个地区使用的全球化应用程序，例如提供可扩展的基础架构、一流的 DDoS 保护以及爬虫缓解机制，通过基于规则的控制能力检测异常状况等。

移动应用程序：

该场景重点在于使用 WAF 保护原生移动应用程序与服务器端 Web API 之间的通信，对 API 流量的分析能力越强，才能实现越好的保护。

Gartner 的建议

• 根据 Web 应用类型、所访问数据的本质特征以及对扩展性的要求，确定有关 WAF的需求。
• 在最终做出决定前，需要对核心安全功能进行测试，如注入防护、爬虫和撞库攻击。
• 确保所选云端 WAF 服务可支持在多个云平台上部署，并能满足本地和云端托管 Web 应用程序的要求。