Gartner 报告 | Web 应用防火墙需要哪些关键能力？ _应用防火墙

随着越来越多的企业陆续上云，并通过云平台为用户提供服务，云端的 Web 应用程序防火墙（WAF）服务开始逐渐变得流行起来。面对与传统部署截然不同的环境和新的安全威胁，云端 WAF 服务不仅需要为 Web 应用提供最基础的保护，同时也要能帮助企业更好地实现安全与风险管理，满足全球各地不同行业日趋严格的要求。
最近， Gartner 对提供云端 WAF 服务的九大供应商进行了一次横向对比，其中 Akamai 云端 WAF 解决方案在 Web 规模的关键业务应用程序和移动应用程序方面分别获得了3.70和3.38的最高分（满分均为5分）。
接下来小编就带你一起来看看这份报告都说了什么。
【Gartner 报告 | Web 应用防火墙需要哪些关键能力？】重要发现

保护面向公众的 Web 应用程序防范攻击，以及对自定义或第三方代码中漏洞的利用，这已成为云端 WAF 服务的主要使用场景。
云端 WAF 服务的市场极为多样化，其中既包含来自 CDN 和 IaaS 服务提供商的产品，也包含云原生 WAF 服务，以及通过虚拟装置方式提供的 WAF 服务。
云端 WAF 服务通常还包含基于签名的 WAF、DDoS 保护以及基本的爬虫缓解功能，如声誉控制或设备指纹。此外，一些供应商还会在其中捆绑与安全无关的功能，如内容交付网络。
对于本次调研中所评估的技术，为 API 流量提供保护的能力均不是很成熟。API 安全性正变得日益重要，尤其是移动应用程序更要注意此类问题。

当前现状
根据 Gartner 的估计，到2020年，独立 WAF 硬件装置的部署份额在新增 WAF 部署中的所占比例将低于20%（目前这一比例为40%），届时将有超过50%面向公众的 Web 应用程序将由云端 WAF 服务平台提供保护，并且这样的保护将会与 CDN、DDoS 保护、爬虫缓解等能力相结合。
对于需要评估云端 WAF 解决方案的企业安全与风险管理负责人来说，必须首先确保所选的云端 WAF 解决方案不会违反任何管控制度或内部策略的要求。如果要为多个应用程序选择 WAF 解决方案，则必须了解不同 Web 应用程序的用途或规模，这些都会对解决方案产生不同的需求。
对于每家企业，所遇到的具体需求和挑战主要取决于不同的用例，但也取决于组织对品牌声誉的重视程度和所处理的具体数据类型。例如，大型 B2C 应用程序无疑会面临更多由爬虫发起的自动化攻击，而将自己网站托管在第三方 CMS 系统上的组织也更容易因为注入漏洞而面临更多数据外泄隐患。
相比独立装置的 WAF 硬件，云端 WAF 服务在部署的简易程度、可扩展性，以及不同功能和系统（如 DDoS 防护、CDN 性能优化等）的无缝结合等方面天然具备更大优势。
对比结果
Gartner 本次通过三个典型使用场景，对比了来自 Akamai、Cloudflare、AWS 等九家厂商的 WAF 解决方案， Akamai WAF 解决方案在其中的两个场景中的得分名列前茅。