首页>最新数字证书问答>选购WAF,这几条建议很重要

选购WAF,这几条建议很重要

Web应用防火墙(简称“WAF”)是很多互联网企业及网站Web防御体系的重要一环,承担了抵御常见Web攻击的任务,如同大厦的保安一样默默工作,构成Web业务安全的第一道防线。

WAF源于传统的网络防火墙,弥补了传统网络防火墙的天生短板。早在2002年,IDC就曾在报告中指出,“网络防火墙对应用层的安全起不到作用,因为为了确保通信,网络防火墙内的一些端口必须处于开放状态”。WAF工作在应用层,对Web应用防护具有先天的技术优势,其功能定位于应用层尤其是Web业务应用的内容检查和安全防御,解决针对应用的复杂攻击,与网络防火墙互为补充,共同构成全面的安全防护体系。

随着近年来Web应用业务的日益增多,尤其是越来越多的业务通过面向公众的应用(包括API驱动的移动互联网应用和物联网应用)提供各种数字化业务支持,Web应用安全成为越来越多企业的隐忧,WAF市场也随之迎来爆发式增长。根据Gartner在2018年度WAF魔力象限报告中预测,2018年全球WAF市场规模为8.53亿美元(约59亿人民币),比2017年增长11.9%,其中亚太地区市场份额占全球的21.2%,比2017年增长13.5%,高于全球平均增长水平。

与市场爆发随之而来的是各大安全厂商逐鹿Web应用安全市场,各类WAF产品如雨后春笋版入市。Gartner分析师在2018年度WAF魔力象限报告中指出,当前全球WAF市场呈现出以下几个趋势:

选购WAF,这几条建议很重要 第1张

1.预计物理设备采购及应用交付控制器(ADC)设备上的WAF模块将会逐渐减少,大部分厂商的出货量都会降低;

2.云WAF服务持续稳定增长,2017年超过35%的WAF市场份额来自于云WAF。纯云端解决方案开始与老牌厂商争夺市场,IaaS服务商开始抢滩WAF市场。

3.越来越多的组织使用云WAF满足应用需求,也有一些组织倾向于在本地及IaaS上使用相同WAF设备/功能的保守方式。此外,一些组织的战略路线图中开始出现多云战略,进一步催生统一管理和报表的需求。

尽管云WAF这两年发展势头迅猛,但现在断言云WAF弯道超车实现后来居上为时尚早。选择云WAF服务和WAF设备的客户对WAF产品有不同的预期:

1.选择云WAF的组织通常期望的是简单易部署、易操作的“全家桶”功能,被pick最多的典型功能包括DDoS防护、bot管理和CDN。这类客户对安全控制的深度、配置选项的细粒度要求更高,但迫于时间压力需要快速部署WAF;

2.选择WAF设备(物理或虚拟化设备)的组织很可能已经部署了WAF,他们在主动安全模型、高级安全模型及WAF在事件响应工作流程中的集成等方面有更高预期。

在选择WAF部署方案时,客户会权衡云WAF及WAF设备之间的利弊后作出决策,短期内二者将会是此消彼长相互PK的格局。

在选购WAF产品时,除了根据具体业务需求和应用场景确定云WAF或本地WAF设备部署方案外,Gartner还推荐了一些技术方面的考量:

1.对已知或未知威胁的检测率和捕获率;

2.降低漏报误报,适应不断发展进化的Web应用;

3.可区分自动化和用户流量,对这两类流量都能应用合适的控制措施;

4.借助简单易用和最小性能影响的优点,促使WAF得到更广泛的应用;

5.自动化事件响应工作流程协助Web应用安全分析人员;

6.能同时保护对外的及内部使用的Web应用及API。

亚太区的WAF市场具有一定的独特性。就此,Gartner今年首次发布了亚太区WAF魔力象限报告(Asia/Pacific Context: ‘Magic Quadrant for Web Application Firewalls’)。在入围亚太区报告的16家企业中,既包括Akamai、Imperva这些国际一线WAF厂商,也包括安恒、阿里等中国本土企业。一些国际大厂商已开始在亚太地区通过托管式安全服务(MSSP)的形式提供本地化产品,但这些厂商依然无法渗透亚太地区市场。相较而言,中国地区的厂商具有更好的本地适应性,拥有本地支持中心和云WAF服务点,这使得它们比其他地区的供应商更能获得当地客户的青睐。在选择WAF厂商时,亚太区客户尤其关注以下几点:

1.高性能设备;

2.在其国内的安全运营中心(SOC)及支持中心;

3.以本地语言提供售前售后支持,尤其是在中国、日本和韩国;

4.本地的云WAF服务节点,尤其是在中国、日本和澳大利亚;

5.安全功能覆盖该区域的大部分流行Web应用。

对亚太区客户采购WAF产品提出以下建议:

1.供应商名录中既包含本地也包含国际厂商;

2.评估弹性收缩能力、易用性和安全深度;

3.评估供应商提供本地WAF防护的能力,可通过以下途径评估:

(1)云WAF在本国内的运营点;

(2)对全球性攻击、本国攻击及亚太地区攻击流量的清洗能力;

(3)本地化语言的管理及监控控制台、技术支持、文档;

(4)对本地威胁的研究能力,如攻击处置报告,本地SDK支持;

(5)参考当地的区域行业用户。

最新资讯

为什么要停止使用RSA密钥交换?

什么是DNS-over-HTTPS.是如何工作的?

Apple macOS操作系统中存在三个致命漏洞

"此网站提供的安全证书不安全"的解决方法

Chrome浏览器中出现“安全连接”错误,该如何解决?

标签推荐:数字证书申请 | ssl证书验证失败 | https证书申请| 数字签名技术| 电子签名软件| ssl证书更新| 小程序证书| ca认证电子签名| 个人代码签名| 微软代码签名| 泛域名证书| java代码签名| 代码签名证书| https证书配置| PKI技术知识| SQL注入| openssl漏洞| 识别钓鱼网站