Közel negyedével, 24 százalékkal bővült tavaly a webalkalmazás-tűzfalak (WAF-ok) piaca az azt megelőző évhez képest, derült ki a Gartner mágikus négyzetéből (2015 Magic Quadrant for Web Application Firewalls). Az amerikai kontinens országai adják a piac csaknem felét, 45 százalékát, míg az európai, afrikai és közel-keleti térség részesedése 29 százalék, az ázsiai és csendes-óceáni régióé pedig 26 százalék.
A WAF-piac lendületes növekedése is jelzi, hogy a szervezeteknek mind több és összetettebb fenyegetéssel szemben kell megvédeniük belső és nyilvános, házon belül vagy külső, hoszting-, illetve felhőszolgáltatónál működő webalkalmazásaikat. Fontos szerephez jutnak ebben a WAF-ok, amelyeket a vállalatok és intézmények webszervereik elé telepítenek a kívülről vagy belülről érkező támadások kivédése, valamint a webalkalmazásokhoz történő hozzáférés monitorozása és naplózása céljából - ez utóbbit esetenként a törvényi megfelelés is megköveteli, de a begyűjtött adatok elemzése a védelem erősítését is segítheti.
Sokszínű mezőny
Több különböző csoportba sorolja a WAF-piac szereplőit elemzésében a Gartner. Két éve még a bevételek alapján a különálló webalkalmazás-tűzfalak, illetve a hálózatbiztonsági eszközök szállítói uralták a piac több mint felét. A nagy ADC (application delivery controller) szállítók, amelyek elsőként ruházták fel termékeiket WAF-funkciókkal, meglévő ügyfélkörükre támaszkodva megszerezték a piac elég nagy szeletét. Mára azonban a kisebb ADC-szállítók is követték példájukat, és a dedikált technológiához képest alacsonyabb árakat, könnyebb integrációt kínálnak. Arénába szálltak a különböző CDN (content delivery network) és anti-DDoS felhőszolgáltatók is előfizetéses WAF-megoldásaikkal, amelyek felhasználói tábora alacsony bázisról indulva jelenleg gyorsan nő.
A Gartner ügyfeleinek 25-30 százaléka a törvényi megfelelés követelményeit (például a bank- és hitelkártya-elfogadással összefüggő PCI követelményeket) említik elsőként, amikor a WAF-beruházás okáról kérdezik őket. Nem sokat változott ez az utóbbi években, 2014-ben azonban sokrétűbbé váltak a felhasználók elvárásai, akik a biztonsági funkciókat gondosan összevetik a megoldások árával. A WAF-képességeket kínáló ADC-k és felhőszolgáltatások növekvő száma nemcsak a webalkalmazások védelmének fontosságát tudatosítják szélesebb körben, hanem a dedikált megoldásokat kínáló szállítókat is kiélezett árversennyel szembesítik. Utóbbiaknak nincs könnyű dolguk, amikor azzal érvelnek drágább termékeik mellett, hogy azok nagyobb védelmet adnak, jobban menedzselhetők és fejlettebb jelentéskészítő funkciókkal bírnak. A szolgáltatásként kínált WAF-ok egyre népszerűbbek, bár ezek a megoldások még korántsem kiforrottak, és nem jeleskednek az olyan feladatok ellátásában, mint például a téves riasztások kiszűrése.
Költséghatékony alternatívát jelentenek a nyílt forráskódú WAF-ok is, mint például a ModSecurity és az IronBee, tette hozzá a piacelemző, különösen az olyan szervezetek szemében, amelyek nem feltétlenül csúcstechnológiás, hanem elég jó webalkalmazás-védelemre törekednek.
Szállítói babérok
A felhőalapú megoldásoknak és az infrastruktúraszolgáltatások (IaaS), például az AWS részeként elérhető, virtuális készülékeknek köszönhetően a WAF-technológia ma már a nagyvállalatok széles körét és a középvállalatokat is eléri - gyakran DDoS támadások elleni védelemmel és CDN képességekkel összecsomagolva -, olyan szervezeteket is, amelyektől a törvényi megfelelés egyébként nem követelné meg használatát.
Nem dőlhetnek azonban hátra a szállítók, mert a mind több WAF-frissítésen túllevő felhasználók egyre tapasztaltabbakká válnak és igényeiket is mind határozottabban fogalmazzák meg. Nekik már nem lehet WAF-ot eladni pusztán azzal, hogy könnyen kezelhető és integrálható a tűzfal, hanem olyan képességeket is fel kell mutatni, amelyek gyors és hatásos biztonsági intézkedések végrehajtását segítik. Több WAF-szállító például szoftvertesztelő megoldásokat kínáló piaci szereplőkkel lépett partneri együttműködésre, bár ennek gyümölcsét viszonylag kevés szervezet élvezi.
Gyakran panaszkodnak a Gartner ügyfelei arra is, hogy a WAF-ok nem adnak megfelelő jelentéskészítő funkciókat a biztonsági elemzések elkészítéséhez, és a téves riasztások kiszűrését is csak korlátozott mértékű automatizálással segítik. Ritkaságszámba megy a pozitív biztonsági modellek - a webalkalmazás működését figyelő, tanuló algoritmusok támogatásával, automatikusan készülő biztonsági szabályok - alkalmazása, valamint a javítások automatikus telepítése is, ami arra utal, hogy a szervezetek egyelőre nem mernek kockáztatni a WAF-okkal, tartanak az alkalmazások futását megzavaró incidensek bekövetkezésétől. Ezek a vélt vagy valós korlátok a menedzselt WAF-szolgáltatást kínáló szereplők malmára hajtják a vizet.
Figyelniük kell a szállítóknak arra is, hogy a nagy, nyilvános webalkalmazásokat kezelő szervezeteknek a bevezetés és a változáskezelés terén is nagyobb mértékű automatizációra lesz szükségük. Keresni fogják ezek a szervezetek a működési költségek további csökkentésének lehetőségét is, összetett, fürtözött architektúrájukat például nagyobb WAF-készülékekkel (appliance-okkal) váltanák ki. Nem utolsósorban a mobilweb-alkalmazások és a felhőszolgáltatások biztonságával összefüggő, új védelmi és működési modellek is nagyban befolyásolják majd a WAF-piac további fejlődését.
