1.云原生应用面临的挑战
从云原生的发展来看,由于云原生技术的革新以及现代应用随之进化,可以清晰地看到云原生吞噬一切的势头,但是云原生也面临着众多挑战:
-
外患 – 应用仍然是攻击者的第一目标,近年来的数据泄露事件也是层出不穷。
-
内忧 – 2022 年很多公开调查报告显示,在云原生发展中,CEO/CIO 最关注的就是云原生安全,而且在企业内部有 95% 的安全漏洞是由人为因素造成。
-
监管 – 为了监督规范行业单位的安全发展,以及保护公民隐私安全,国家陆续颁布了很多法案,如数据安全法、网络安全法等。
2.如何打造现代应用的贴身防护盾
在云原生的时代,F5/NGINX 提出了现代应用安全的 6 大必备要素:
容器云入口安全
应用零信任
增强级应用防护
基于现代应用的协议增强
WAF “重生” – 与现代应用无缝集成
性能卓越
【2.1 容器云入口安全】
容器云平台对外暴露服务的方式多种多样,ingress 是云原生应用中最常用的一种方式,保护容器云入口的安全至关重要,F5/NGINX 可以做好“安检”的第一道环节,对入口的流量集中化 TLS 卸载,ACL 访问控制等。
同时,在云原生的应用场景中,企业的很多开源产品或者应用都会存在主动外访服务,很多企业还没关注到这些外访服务可能带来的安全风险,根据“木桶原理”,往往就是这些未被关注到的外访服务泄露了重要数据,或者造成内部大量主机成为僵死网络的“肉鸡”,因此,对容器云的 egress 安全需要格外关注。
【2.2 应用零信任】
零信任是一种基于身份的安全模型,可帮助保护用户、应用、数据和设备,无论它们位于何处 — 企业边界内部或外部、远程、本地或云端。其 3 大核心原则 — 永不信任、始终验证和持续监控。
NGINX 在云原生场景下,可以有效的与认证平台做对接,对用户的请求做实时的身份验证,授权等,根据不同用户权限,不同的应用系统做访问控制,提升现代应用访问的第一道防线。
【2.3 增强级应用防护】
巩固好现代应用的访问入口及访问身份的防线之后,更多的应该关注到现代应用本身的安全能力,因为在云原生的发展中,企业会大量使用种类繁多的开源组件,之前爆发的史诗级零日漏洞 -Log4J 就是被广泛使用的供应链软件,这就造成了现代应用本身会存在很多的缺陷。
为了降低现代应用被攻击的风险,NGINX App Protect 通过多层级防护模型,检测识别真实/伪装的 Bot,Layer 7 层 DoS,威胁情报,再结合主动/被动防护模型,防御常见的 OWASP Top 10 攻击以及未经发现的新型攻击,同时,大幅降低防护的误报率,全方位打造传统应用和现代应用的贴身防护。
【2.4 基于现代应用的协议增强】
对于现代应用来说,协议是现代应用发展的“血管”,协议的高效和健壮能力决定着现代应用安全可靠的访问体验。我们发现现在很多企业,尤其是开放银行利用 gRPC 协议更快、更高效地构建新服务,具有更高的可靠性和可扩展性,以及客户端和服务器的语言独立性。
虽然 gRPC 标准和协议缓冲区被认为可以更安全地抵御网络攻击,但是 gRPC 解析器仍然存在很多被攻击的风险:
-
允许在没有关键字的情况下发送消息流 stream
-
允许在一条消息中多次出现一个字段,即使该字段未声明为可重复
-
不检查映射字段中的重复键;只考虑键的最后一次出现
-
不检查 oneOf 复合类型,并允许存在多个字段
攻击者可以利用 gRPC 协议中的这些漏洞来破坏应用。协议缓冲区还允许创建未在消息定义中定义的字段,这提供了可扩展性的同时,也可能使现代应用容易受到攻击,在这种攻击中,攻击者将恶意编码作为应用允许的字段合并到攻击请求中。
NGINX App Protect 对请求的 gRPC 消息进行深度检查,解析协议缓冲区消息,并检测消息标头和有效负载中的恶意数据,包括所有嵌套和复杂的数据结构。检查针对任何请求执行,并对每个 API 调用参数应用攻击检测机制。
使用 gRPC API,可以在 gRPC 接口在类型库文件(IDL 文件)和协议缓冲区的原型定义文件中设置安全策略。NGINX App Protect 会立即开始应用新的安全策略,而无需对其配置进行任何更改。
gRPC 原型文件作为 CI/CD 流水线的一部分经常更新,因此更新安全策略不会中断或增加 CI/CD 的流程开销,并且确保现代应用的“南北向”和“东西向”流量始终受到最新策略的保护。
【2.5 WAF“重生”- 与现代应用无缝集成】
世界上的每一片雪花都是独一无二的存在,同样,我们的传统应用和现代应用也如雪花一样。之前介绍 WAF“已死”的论点是由于云原生时代,现代应用的快速发展,DevOps 使得传统 WAF 已经无法跟上现代应用的步伐。
但是我们知道传统应用与云原生应用会存在一个长期共存的周期,传统 WAF 仍然还有一些用武之地。
但是,为了适应云原生应用的发展,WAF 必须“重生”,“重生”的 WAF 不但需要具备传统 WAF 的防护能力,还需要与现代应用无缝集成,NGINX App Protect 无缝集成至 CI/CD 流水线,实现安全即代码(SaC),弥合 DevSecOps 的鸿沟。
同时,还需要根据现代应用的特点,提供高级的 API 防护,gRPC 等协议防护,Bot 等高级防护能力。在不同应用不同环境的灵捷部署场景中,F5 OneWAF 的先进理念可以让企业部署在本地、公有云、私有云或边缘的应用,得到一致性的安全防护效果。
【2.6 性能卓越】
多年以来,无论是面对传统应用,还是云原生现代应用,应用团队和安全团队经常会面临互相指责的局面。应用团队为了快速上线业务,往往会牺牲安全能力。而安全团队为了保护应用的安全性,安全策略测试、联合性能压测等环节,往往会拖累应用上线速度。
NGINX App Protect 经过公开测试验证以及客户实际使用场景的验证,在应用使用 NGINX App Protect 安全防护的场景下,应用的延迟几乎为零。
这就大幅降低了应用团队与安全团队的摩擦,让不同团队可以利用 NGINX App Protect 这样的利器更好的服务于现代应用的敏捷交付和迭代。
企业的传统应用和现代应用防护会分布在本地、公有云、私有云或边缘,对 NGINX App Protec 的集中管理至关重要,通过集中管理平台可以大幅提升安全团队的工作效率,同时,面对不同环境不同应用的攻击集中可视化展现,实时洞察安全风险。
4.价值
F5 纵深防御,动态对抗安全架构为企业的云原生之路奠定了坚实的安全基础,在整体架构中,F5/NGINX App Protect 在云原生领域,专注于云原生现代应用的 6 大必备要素,其 8 大价值为现代应用打造了贴身防护盾。
新冠病毒疫情大流行推动了电子商务的繁荣,因为关闭的商店都转向开展在线业务,但Google并未像其竞争对手那样从中受益。 谷歌今年在美国的广告收入将达到396亿美元,与2019年的418亿美元相比,下降了5.3%。尽管谷歌的广告收入仍将超过其竞争对手亚马逊与Fa…
码刀科技(www.lekshop.cn)是国内知名企业级电商平台提供商,为企业级商家提供最佳的电商平台搭建(多种模式电商平台搭建:B2B/B2B2C/B2C/O2O/新零售/跨境等)、平台管理系统开发及互联网采购解决方案服务, 联系客服了解更多.
