IT環境與需求轉變 WAF市場風雲再起

過去兩年期間,WAF(Web Application Firewall,網頁應用防火牆)廠商經營本地市場態度多較為沉寂保留,甚至有廠商直言台灣市場因需求不明顯而較難推動WAF產品。然而,近來開始有WAF廠商宣告重新進軍台灣,網路服務業者也宣布推出WAF相關服務,協助企業保護網站安全,可看出WAF市場正醞釀變動當中。台灣WAF市場是否因應新的需求與IT應用環境而重新產生了商機、企業需求又在哪裡,來聽聽廠商們怎麼說。

Barracuda:重整資安策略進軍台灣

以垃圾郵件過濾解決方案起家的Barracuda Networks,經過幾年併購之後以WAF等產品加入網路安全的戰局,Barracuda亞洲區域業務總監譚展鴻表示,兩年多前Barracuda在台灣即設有辦公室,也積極推廣WAF等資安產品,然而當時企業對於WAF的需求與認知還在建立階段,因此Barracuda也較未大力佈署台灣市場。不過,經過幾年的市場教育,如今企業對於WAF產品具備普遍性認知,加上雲端運算、行動應用等市場崛起,WAF的重要性逐漸受到企業留意與接受,有鑑於此,Barracuda在去年重新訂定資安策略,以WAF以及新世代防火牆(NGFW)為主力解決方案拓展市場,也將會積極與本地代理商合作,提供企業客戶更多服務。

▲Barracuda亞洲區域業務總監譚展鴻表示,看好市場發展商機,Barracuda重新訂定資安策略,以WAF和NGFW為主力解決方案拓展市場,同時積極與本地代理商合作,提供企業客戶更多服務。
「近幾年來,不少大型組織機關遭受到駭客以各種新型態攻擊,如今駭客攻擊手法越來越複雜且頻繁,取得攻擊的工具與管道也越來越容易,而其中有不少攻擊直接衝著網站伺服器而來,使得網頁應用成為資安漏洞的一環,也顯示WAF解決方案的重要性。」譚展鴻舉例,像是利用DDoS手法癱瘓企業網站,或是暗中將網站指向其他位址,都是目前常見卻又不得不防的網頁攻擊,「尤其金融機關更需要強化Web安全,確保如網路銀行等服務的安全性與穩定性。」

除了防禦外來的攻擊,譚展鴻表示,WAF也應該要能夠為企業防堵內部而來的攻擊,「例如未經授權的情況下,透過網頁的方式將資料送出的風險漏洞,對此WAF可設定關鍵字(如ID Number)相關的資料不允許被送出等條件,以避免漏洞攻擊從內部送出。」譚展鴻說,Barracuda的WAF產品可提供企業許多功能,除了防禦內外部攻擊,像是偵測封包內容、加入Anti-Virus過濾存取網頁流量的病毒、以及將在今年第三季更新的支援加解密等功能,都是Barracuda可提供企業提高網路管理與安全性的功能。

此外,譚展鴻強調,Barracuda的優勢在於可以WAF以及NGFW產品協助企業佈署多道防禦,「第一道新世代防火牆可抵擋絕大多數的網路攻擊,而第二道WAF則可把關網頁應用層的資安攻擊,提高安全防禦等級。」另外,Barracuda提供Control Center協助企業整合控管Barracuda的各項設備方案,達到統一控管的目的。 「Barracuda專注在應用層的安全防禦與管理,隨著企業IT環境與需求不斷提高,相信接下來對於Barracuda而言或是對WAF產品來說,市場商機都相當可期。」

阿碼科技:整合多項產品架設資安聯防網

以軟體開發能力為最大優勢強項的阿碼科技(Armorize),也同樣觀察到WAF市場的發展商機,阿碼科技總經理徐明達表示:「最近接觸到的客戶對於WAF產品的詢問度與接受度都頗高,尤其因應新版個資法的要求下,中小型銀行受到主管機關要求,必須佈署網路銀行的資安防禦機制,卻又受到成本預算的侷限,因此更需評估採購重點產品,因而開始評估規劃導入WAF產品。」

徐明達表示,阿碼科技的解決方案,包括WAF在內,全數以軟體型態提供企業使用,「事實上,以阿碼科技的SmartWAF產品來說,軟體式的解決方案可不受限於硬體架構而彈性擴充,企業可更靈活應用。」

▲阿碼科技總經理徐明達(右)與阿碼科技資安顧問部協理戴芳銘(左)表示,軟體式解決方案可不受限於硬體架構而可彈性擴充與整合應用,讓企業更易於佈署嚴密的資安防禦網。
阿碼科技資安顧問部協理戴芳銘表示,許多資安攻擊都針對網頁而來,傳統防火牆僅能從網路層進行防禦,可為企業把關應用層網頁安全的WAF產品,也成為企業因應各種網路攻擊不可或缺的解決方案。戴芳銘進一步解釋,阿碼科技的WAF產品是以Plug-in的方式內嵌在網頁伺服器上,其分散式軟體處理架構可針對19種常見攻擊型態、超過1萬種攻擊方法進行防禦。

至於軟體式較為人所疑慮的效能問題,戴芳銘表示:「軟體式必然需要使用到伺服器的硬體資源,效能影響也是可預期的情況,但以阿碼科技的軟體方案來說,僅會影響硬體效能5%,也因此,我們會協助客戶評估該網頁伺服器是否可加裝阿碼科技的WAF產品,網頁伺服器資源使用率為40%以下者較為理想佈署環境。」

戴芳銘進一步表示,軟體式WAF的好處在於可避免單點失效的問題,「每一台網頁伺服器上都安裝軟體式WAF,較能降低因硬體設備故障或失效所造成的資安漏洞危機,另外,採用阿碼科技的軟體式解決方案還有最大的優勢,在於可搭配採用其他產品工具來達到更高的安全防禦。」他舉例表示,身陷攻擊危機的企業可先佈署WAF立即阻擋網頁攻擊,爭取到時間後,再利用阿碼科技的CodeSecure自動化Web源碼檢測平台,協助企業找出網頁應用程式弱點,提供修補建議,徹底解決問題。

徐明達表示,資訊安全是一道道環環相扣聯合防禦網,駭客攻擊日新月異,而攻擊方又永遠會有一些初學者加入,也就是說,無論是防禦能力與可抵擋的手法,從初階到進階複雜的攻擊方式,企業都不可心存僥倖,而須時時補強資安防禦機制。不難看出,隨著雲端運算、社群網站、行動運算等科技應用型態轉變,加上個資法、以取得經濟利益為目的的駭客攻擊等環境影響,WAF雖不是萬靈丹,但也成為企業保護網頁安全的金鐘罩,如何架構出更嚴密的安全防禦網,是企業與資安產品供應商的恆常課題。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!