随着越来越多的企业陆续上云,并通过云平台为用户提供服务,云端的 Web 应用程序(WAF)服务开始逐渐变得流行起来。面对与传统部署截然不同的环境和新的安全威胁,云端 WAF 服务不仅需要为 Web 应用提供最基础的保护,同时也要能帮助企业更好地实现安全与风险管理,满足全球各地不同行业日趋严格的要求。
最近,Gartner 对提供云端 WAF 服务的九大供应商进行了一次横向对比,其中 Akamai 云端 WAF 解决方案在 Web 规模的关键业务应用程序和移动应用程序方面分别获得了3.70和3.38的最高分(满分均为5分)。
接下来小编就带你一起来看看这份报告都说了什么。
重要发现
- 保护面向公众的 Web 应用程序防范攻击,以及对自定义或第三方代码中漏洞的利用,这已成为云端 WAF 服务的主要使用场景。
- 云端 WAF 服务的市场极为多样化,其中既包含来自 CDN 和 IaaS 服务提供商的产品,也包含云原生 WAF 服务,以及通过虚拟装置方式提供的 WAF 服务。
- 云端 WAF 服务通常还包含基于签名的 WAF、 保护以及基本的爬虫缓解功能,如声誉控制或设备指纹。此外,一些供应商还会在其中捆绑与安全无关的功能,如内容交付网络。
- 对于本次调研中所评估的技术,为 API 流量提供保护的能力均不是很成熟。API 安全性正变得日益重要,尤其是移动应用程序更要注意此类问题。
当前现状
根据 Gartner 的估计,到2020年,独立 WAF 硬件装置的部署份额在新增 WAF 部署中的所占比例将低于20%(目前这一比例为40%),届时将有超过50%面向公众的 Web 应用程序将由云端 WAF 服务平台提供保护,并且这样的保护将会与 CDN、DDoS 保护、爬虫缓解等能力相结合。
对于需要评估云端 WAF 解决方案的企业安全与风险管理负责人来说,必须首先确保所选的云端 WAF 解决方案不会违反任何管控制度或内部策略的要求。如果要为多个应用程序选择 WAF 解决方案,则必须了解不同 Web 应用程序的用途或规模,这些都会对解决方案产生不同的需求。
对于每家企业,所遇到的具体需求和挑战主要取决于不同的用例,但也取决于组织对品牌声誉的重视程度和所处理的具体数据类型。例如,大型 B2C 应用程序无疑会面临更多由爬虫发起的自动化攻击,而将自己托管在第三方 CMS 系统上的组织也更容易因为注入漏洞而面临更多数据外泄隐患。
相比独立装置的 WAF 硬件,云端 WAF 服务在部署的简易程度、可扩展性,以及不同功能和系统(如 DDoS 防护、CDN 性能优化等)的无缝结合等方面天然具备更大优势。
对比结果
Gartner 本次通过三个典型使用场景,对比了来自 Akamai、Cloudflare、AWS 等九家厂商的 WAF 解决方案,Akamai WAF 解决方案在其中的两个场景中的得分名列前茅。
Web 规模的关键业务应用程序:
该场景主要针对可跨越多个地区使用的全球化应用程序,例如提供可扩展的基础、一流的 DDoS 保护以及爬虫缓解机制,通过基于规则的控制能力检测异常状况等。
移动应用程序:
该场景重点在于使用 WAF 保护原生移动应用程序与服务器端 Web API 之间的通信,对 API 流量的分析能力越强,才能实现越好的保护。
Gartner 的建议
- 根据 Web 应用类型、所访问数据的本质特征以及对扩展性的要求,确定有关 WAF的需求。
- 在最终做出决定前,需要对核心安全功能进行测试,如注入防护、爬虫和撞库攻击。
- 确保所选云端 WAF 服务可支持在多个云平台上部署,并能满足本地和云端托管 Web 应用程序的要求。
