方案聚焦 | 云原生安全 - 打造現(xiàn)代應用的貼身防護盾

• 外患 - 應用仍然是攻擊者的第一目標，近年來的數(shù)據(jù)泄露事件也是層出不窮。

• 內(nèi)憂 - 2022 年很多公開調(diào)查報告顯示，在云原生發(fā)展中，CEO/CIO 最關(guān)注的就是云原生安全，而且在企業(yè)內(nèi)部有 95% 的安全漏洞是由人為因素造成。

• 監(jiān)管 - 為了監(jiān)督規(guī)范行業(yè)單位的安全發(fā)展，以及保護公民隱私安全，國家陸續(xù)頒布了很多法案，如數(shù)據(jù)安全法、網(wǎng)絡安全法等。

2.如何打造現(xiàn)代應用的貼身防護盾

<1> 容器云入口安全

<2> 應用零信任

<3> 增強級應用防護

<4> 基于現(xiàn)代應用的協(xié)議增強

<5> WAF “重生” - 與現(xiàn)代應用無縫集成

<6> 性能卓越

同時，在云原生的應用場景中，企業(yè)的很多開源產(chǎn)品或者應用都會存在主動外訪服務，很多企業(yè)還沒關(guān)注到這些外訪服務可能帶來的安全風險，根據(jù)“木桶原理”，往往就是這些未被關(guān)注到的外訪服務泄露了重要數(shù)據(jù)，或者造成內(nèi)部大量主機成為僵死網(wǎng)絡的“肉雞”，因此，對容器云的 egress 安全需要格外關(guān)注。

【2.2 應用零信任】

零信任是一種基于身份的安全模型，可幫助保護用戶、應用、數(shù)據(jù)和設備，無論它們位于何處 — 企業(yè)邊界內(nèi)部或外部、遠程、本地或云端。其 3 大核心原則 — 永不信任、始終驗證和持續(xù)監(jiān)控。

NGINX 在云原生場景下，可以有效的與認證平臺做對接，對用戶的請求做實時的身份驗證，授權(quán)等，根據(jù)不同用戶權(quán)限，不同的應用系統(tǒng)做訪問控制，提升現(xiàn)代應用訪問的第一道防線。

【2.3 增強級應用防護】

鞏固好現(xiàn)代應用的訪問入口及訪問身份的防線之后，更多的應該關(guān)注到現(xiàn)代應用本身的安全能力，因為在云原生的發(fā)展中，企業(yè)會大量使用種類繁多的開源組件，之前爆發(fā)的史詩級零日漏洞 -Log4J 就是被廣泛使用的供應鏈軟件，這就造成了現(xiàn)代應用本身會存在很多的缺陷。

為了降低現(xiàn)代應用被攻擊的風險，NGINX App Protect 通過多層級防護模型，檢測識別真實/偽裝的 Bot，Layer 7 層 DoS，威脅情報，再結(jié)合主動/被動防護模型，防御常見的 OWASP Top 10 攻擊以及未經(jīng)發(fā)現(xiàn)的新型攻擊，同時，大幅降低防護的誤報率，全方位打造傳統(tǒng)應用和現(xiàn)代應用的貼身防護。

【2.4 基于現(xiàn)代應用的協(xié)議增強】

對于現(xiàn)代應用來說，協(xié)議是現(xiàn)代應用發(fā)展的“血管”，協(xié)議的高效和健壯能力決定著現(xiàn)代應用安全可靠的訪問體驗。我們發(fā)現(xiàn)現(xiàn)在很多企業(yè)，尤其是開放銀行利用 gRPC 協(xié)議更快、更高效地構(gòu)建新服務，具有更高的可靠性和可擴展性，以及客戶端和服務器的語言獨立性。

雖然 gRPC 標準和協(xié)議緩沖區(qū)被認為可以更安全地抵御網(wǎng)絡攻擊，但是 gRPC 解析器仍然存在很多被攻擊的風險：

攻擊者可以利用 gRPC 協(xié)議中的這些漏洞來破壞應用。協(xié)議緩沖區(qū)還允許創(chuàng)建未在消息定義中定義的字段，這提供了可擴展性的同時，也可能使現(xiàn)代應用容易受到攻擊，在這種攻擊中，攻擊者將惡意編碼作為應用允許的字段合并到攻擊請求中。

NGINX App Protect 對請求的 gRPC 消息進行深度檢查，解析協(xié)議緩沖區(qū)消息，并檢測消息標頭和有效負載中的惡意數(shù)據(jù)，包括所有嵌套和復雜的數(shù)據(jù)結(jié)構(gòu)。檢查針對任何請求執(zhí)行，并對每個 API 調(diào)用參數(shù)應用攻擊檢測機制。

使用 gRPC API，可以在 gRPC 接口在類型庫文件（IDL 文件）和協(xié)議緩沖區(qū)的原型定義文件中設置安全策略。NGINX App Protect 會立即開始應用新的安全策略，而無需對其配置進行任何更改。

gRPC 原型文件作為 CI/CD 流水線的一部分經(jīng)常更新，因此更新安全策略不會中斷或增加 CI/CD 的流程開銷，并且確?，F(xiàn)代應用的“南北向”和“東西向”流量始終受到最新策略的保護。

【2.5 WAF“重生”- 與現(xiàn)代應用無縫集成】

世界上的每一片雪花都是獨一無二的存在，同樣，我們的傳統(tǒng)應用和現(xiàn)代應用也如雪花一樣。之前介紹 WAF“已死”的論點是由于云原生時代，現(xiàn)代應用的快速發(fā)展，DevOps 使得傳統(tǒng) WAF 已經(jīng)無法跟上現(xiàn)代應用的步伐。

但是我們知道傳統(tǒng)應用與云原生應用會存在一個長期共存的周期，傳統(tǒng) WAF 仍然還有一些用武之地。

但是，為了適應云原生應用的發(fā)展，WAF 必須“重生”，“重生”的 WAF 不但需要具備傳統(tǒng) WAF 的防護能力，還需要與現(xiàn)代應用無縫集成，NGINX App Protect 無縫集成至 CI/CD 流水線，實現(xiàn)安全即代碼（SaC），彌合 DevSecOps 的鴻溝。

同時，還需要根據(jù)現(xiàn)代應用的特點，提供高級的 API 防護，gRPC 等協(xié)議防護，Bot 等高級防護能力。在不同應用不同環(huán)境的靈捷部署場景中，F5 OneWAF 的先進理念可以讓企業(yè)部署在本地、公有云、私有云或邊緣的應用，得到一致性的安全防護效果。

【2.6 性能卓越】

多年以來，無論是面對傳統(tǒng)應用，還是云原生現(xiàn)代應用，應用團隊和安全團隊經(jīng)常會面臨互相指責的局面。應用團隊為了快速上線業(yè)務，往往會犧牲安全能力。而安全團隊為了保護應用的安全性，安全策略測試、聯(lián)合性能壓測等環(huán)節(jié)，往往會拖累應用上線速度。

NGINX App Protect 經(jīng)過公開測試驗證以及客戶實際使用場景的驗證，在應用使用 NGINX App Protect 安全防護的場景下，應用的延遲幾乎為零。

這就大幅降低了應用團隊與安全團隊的摩擦，讓不同團隊可以利用 NGINX App Protect 這樣的利器更好的服務于現(xiàn)代應用的敏捷交付和迭代。

4.價值