隨著越來越多的企業陸續上云,并通過云平臺為用戶提供服務,云端的 Web 應用程序防火墻(WAF)服務開始逐漸變得流行起來。面對與傳統部署截然不同的環境和新的安全威脅,云端 WAF 服務不僅需要為 Web 應用提供最基礎的保護,同時也要能幫助企業更好地實現安全與風險管理,滿足全球各地不同行業日趨嚴格的要求。
最近,Gartner 對提供云端 WAF 服務的九大供應商進行了一次橫向對比,其中 Akamai 云端 WAF 解決方案在 Web 規模的關鍵業務應用程序和移動應用程序方面分別獲得了3.70和3.38的最高分(滿分均為5分)。
接下來小編就帶你一起來看看這份報告都說了什么。
重要發現
- 保護面向公眾的 Web 應用程序防范攻擊,以及對自定義或第三方代碼中漏洞的利用,這已成為云端 WAF 服務的主要使用場景。
- 云端 WAF 服務的市場極為多樣化,其中既包含來自 CDN 和 IaaS 服務提供商的產品,也包含云原生 WAF 服務,以及通過虛擬裝置方式提供的 WAF 服務。
- 云端 WAF 服務通常還包含基于簽名的 WAF、DDoS 保護以及基本的爬蟲緩解功能,如聲譽控制或設備指紋。此外,一些供應商還會在其中捆綁與安全無關的功能,如內容交付網絡。
- 對于本次調研中所評估的技術,為 API 流量提供保護的能力均不是很成熟。API 安全性正變得日益重要,尤其是移動應用程序更要注意此類問題。
當前現狀
根據 Gartner 的估計,到2020年,獨立 WAF 硬件裝置的部署份額在新增 WAF 部署中的所占比例將低于20%(目前這一比例為40%),屆時將有超過50%面向公眾的 Web 應用程序將由云端 WAF 服務平臺提供保護,并且這樣的保護將會與 CDN、DDoS 保護、爬蟲緩解等能力相結合。
對于需要評估云端 WAF 解決方案的企業安全與風險管理負責人來說,必須首先確保所選的云端 WAF 解決方案不會違反任何管控制度或內部策略的要求。如果要為多個應用程序選擇 WAF 解決方案,則必須了解不同 Web 應用程序的用途或規模,這些都會對解決方案產生不同的需求。
對于每家企業,所遇到的具體需求和挑戰主要取決于不同的用例,但也取決于組織對品牌聲譽的重視程度和所處理的具體數據類型。例如,大型 B2C 應用程序無疑會面臨更多由爬蟲發起的自動化攻擊,而將自己網站托管在第三方 CMS 系統上的組織也更容易因為注入漏洞而面臨更多數據外泄隱患。
相比獨立裝置的 WAF 硬件,云端 WAF 服務在部署的簡易程度、可擴展性,以及不同功能和系統(如 DDoS 防護、CDN 性能優化等)的無縫結合等方面天然具備更大優勢。
對比結果
Gartner 本次通過三個典型使用場景,對比了來自 Akamai、Cloudflare、AWS 等九家廠商的 WAF 解決方案,Akamai WAF 解決方案在其中的兩個場景中的得分名列前茅。
Web 規模的關鍵業務應用程序:
該場景主要針對可跨越多個地區使用的全球化應用程序,例如提供可擴展的基礎架構、一流的 DDoS 保護以及爬蟲緩解機制,通過基于規則的控制能力檢測異常狀況等。
移動應用程序:
該場景重點在于使用 WAF 保護原生移動應用程序與服務器端 Web API 之間的通信,對 API 流量的分析能力越強,才能實現越好的保護。
Gartner 的建議
- 根據 Web 應用類型、所訪問數據的本質特征以及對擴展性的要求,確定有關 WAF的需求。
- 在最終做出決定前,需要對核心安全功能進行測試,如注入防護、爬蟲和撞庫攻擊。
- 確保所選云端 WAF 服務可支持在多個云平臺上部署,并能滿足本地和云端托管 Web 應用程序的要求。
