方案聚焦 | 云原生安全 - 打造現(xiàn)代應(yīng)用的貼身防護(hù)盾

• 外患 - 應(yīng)用仍然是攻擊者的第一目標(biāo)，近年來的數(shù)據(jù)泄露事件也是層出不窮。

• 內(nèi)憂 - 2022 年很多公開調(diào)查報告顯示，在云原生發(fā)展中，CEO/CIO 最關(guān)注的就是云原生安全，而且在企業(yè)內(nèi)部有 95% 的安全漏洞是由人為因素造成。

• 監(jiān)管 - 為了監(jiān)督規(guī)范行業(yè)單位的安全發(fā)展，以及保護(hù)公民隱私安全，國家陸續(xù)頒布了很多法案，如數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法等。

2.如何打造現(xiàn)代應(yīng)用的貼身防護(hù)盾

<1> 容器云入口安全

<2> 應(yīng)用零信任

<3> 增強(qiáng)級應(yīng)用防護(hù)

<4> 基于現(xiàn)代應(yīng)用的協(xié)議增強(qiáng)

<5> WAF “重生” - 與現(xiàn)代應(yīng)用無縫集成

<6> 性能卓越

同時，在云原生的應(yīng)用場景中，企業(yè)的很多開源產(chǎn)品或者應(yīng)用都會存在主動外訪服務(wù)，很多企業(yè)還沒關(guān)注到這些外訪服務(wù)可能帶來的安全風(fēng)險，根據(jù)“木桶原理”，往往就是這些未被關(guān)注到的外訪服務(wù)泄露了重要數(shù)據(jù)，或者造成內(nèi)部大量主機(jī)成為僵死網(wǎng)絡(luò)的“肉雞”，因此，對容器云的 egress 安全需要格外關(guān)注。

【2.2 應(yīng)用零信任】

零信任是一種基于身份的安全模型，可幫助保護(hù)用戶、應(yīng)用、數(shù)據(jù)和設(shè)備，無論它們位于何處 — 企業(yè)邊界內(nèi)部或外部、遠(yuǎn)程、本地或云端。其 3 大核心原則 — 永不信任、始終驗證和持續(xù)監(jiān)控。

NGINX 在云原生場景下，可以有效的與認(rèn)證平臺做對接，對用戶的請求做實時的身份驗證，授權(quán)等，根據(jù)不同用戶權(quán)限，不同的應(yīng)用系統(tǒng)做訪問控制，提升現(xiàn)代應(yīng)用訪問的第一道防線。

【2.3 增強(qiáng)級應(yīng)用防護(hù)】

鞏固好現(xiàn)代應(yīng)用的訪問入口及訪問身份的防線之后，更多的應(yīng)該關(guān)注到現(xiàn)代應(yīng)用本身的安全能力，因為在云原生的發(fā)展中，企業(yè)會大量使用種類繁多的開源組件，之前爆發(fā)的史詩級零日漏洞 -Log4J 就是被廣泛使用的供應(yīng)鏈軟件，這就造成了現(xiàn)代應(yīng)用本身會存在很多的缺陷。

為了降低現(xiàn)代應(yīng)用被攻擊的風(fēng)險，NGINX App Protect 通過多層級防護(hù)模型，檢測識別真實/偽裝的 Bot，Layer 7 層 DoS，威脅情報，再結(jié)合主動/被動防護(hù)模型，防御常見的 OWASP Top 10 攻擊以及未經(jīng)發(fā)現(xiàn)的新型攻擊，同時，大幅降低防護(hù)的誤報率，全方位打造傳統(tǒng)應(yīng)用和現(xiàn)代應(yīng)用的貼身防護(hù)。

【2.4 基于現(xiàn)代應(yīng)用的協(xié)議增強(qiáng)】

對于現(xiàn)代應(yīng)用來說，協(xié)議是現(xiàn)代應(yīng)用發(fā)展的“血管”，協(xié)議的高效和健壯能力決定著現(xiàn)代應(yīng)用安全可靠的訪問體驗。我們發(fā)現(xiàn)現(xiàn)在很多企業(yè)，尤其是開放銀行利用 gRPC 協(xié)議更快、更高效地構(gòu)建新服務(wù)，具有更高的可靠性和可擴(kuò)展性，以及客戶端和服務(wù)器的語言獨立性。

雖然 gRPC 標(biāo)準(zhǔn)和協(xié)議緩沖區(qū)被認(rèn)為可以更安全地抵御網(wǎng)絡(luò)攻擊，但是 gRPC 解析器仍然存在很多被攻擊的風(fēng)險：

攻擊者可以利用 gRPC 協(xié)議中的這些漏洞來破壞應(yīng)用。協(xié)議緩沖區(qū)還允許創(chuàng)建未在消息定義中定義的字段，這提供了可擴(kuò)展性的同時，也可能使現(xiàn)代應(yīng)用容易受到攻擊，在這種攻擊中，攻擊者將惡意編碼作為應(yīng)用允許的字段合并到攻擊請求中。

NGINX App Protect 對請求的 gRPC 消息進(jìn)行深度檢查，解析協(xié)議緩沖區(qū)消息，并檢測消息標(biāo)頭和有效負(fù)載中的惡意數(shù)據(jù)，包括所有嵌套和復(fù)雜的數(shù)據(jù)結(jié)構(gòu)。檢查針對任何請求執(zhí)行，并對每個 API 調(diào)用參數(shù)應(yīng)用攻擊檢測機(jī)制。

使用 gRPC API，可以在 gRPC 接口在類型庫文件（IDL 文件）和協(xié)議緩沖區(qū)的原型定義文件中設(shè)置安全策略。NGINX App Protect 會立即開始應(yīng)用新的安全策略，而無需對其配置進(jìn)行任何更改。

gRPC 原型文件作為 CI/CD 流水線的一部分經(jīng)常更新，因此更新安全策略不會中斷或增加 CI/CD 的流程開銷，并且確?，F(xiàn)代應(yīng)用的“南北向”和“東西向”流量始終受到最新策略的保護(hù)。

【2.5 WAF“重生”- 與現(xiàn)代應(yīng)用無縫集成】

世界上的每一片雪花都是獨一無二的存在，同樣，我們的傳統(tǒng)應(yīng)用和現(xiàn)代應(yīng)用也如雪花一樣。之前介紹 WAF“已死”的論點是由于云原生時代，現(xiàn)代應(yīng)用的快速發(fā)展，DevOps 使得傳統(tǒng) WAF 已經(jīng)無法跟上現(xiàn)代應(yīng)用的步伐。

但是我們知道傳統(tǒng)應(yīng)用與云原生應(yīng)用會存在一個長期共存的周期，傳統(tǒng) WAF 仍然還有一些用武之地。

但是，為了適應(yīng)云原生應(yīng)用的發(fā)展，WAF 必須“重生”，“重生”的 WAF 不但需要具備傳統(tǒng) WAF 的防護(hù)能力，還需要與現(xiàn)代應(yīng)用無縫集成，NGINX App Protect 無縫集成至 CI/CD 流水線，實現(xiàn)安全即代碼（SaC），彌合 DevSecOps 的鴻溝。

同時，還需要根據(jù)現(xiàn)代應(yīng)用的特點，提供高級的 API 防護(hù)，gRPC 等協(xié)議防護(hù)，Bot 等高級防護(hù)能力。在不同應(yīng)用不同環(huán)境的靈捷部署場景中，F5 OneWAF 的先進(jìn)理念可以讓企業(yè)部署在本地、公有云、私有云或邊緣的應(yīng)用，得到一致性的安全防護(hù)效果。

【2.6 性能卓越】

多年以來，無論是面對傳統(tǒng)應(yīng)用，還是云原生現(xiàn)代應(yīng)用，應(yīng)用團(tuán)隊和安全團(tuán)隊經(jīng)常會面臨互相指責(zé)的局面。應(yīng)用團(tuán)隊為了快速上線業(yè)務(wù)，往往會犧牲安全能力。而安全團(tuán)隊為了保護(hù)應(yīng)用的安全性，安全策略測試、聯(lián)合性能壓測等環(huán)節(jié)，往往會拖累應(yīng)用上線速度。

NGINX App Protect 經(jīng)過公開測試驗證以及客戶實際使用場景的驗證，在應(yīng)用使用 NGINX App Protect 安全防護(hù)的場景下，應(yīng)用的延遲幾乎為零。

這就大幅降低了應(yīng)用團(tuán)隊與安全團(tuán)隊的摩擦，讓不同團(tuán)隊可以利用 NGINX App Protect 這樣的利器更好的服務(wù)于現(xiàn)代應(yīng)用的敏捷交付和迭代。

4.價值