现代应用团队越来越意识到“安全左移”的重要性和好处 —— “安全左移”是指在应用开发和部署周期的早期阶段使用应用安全控制。在左移理念中,每个团队都可以选择最适合其应用的安全解决方案和参数。这样做当然是合理的。NGINX 非常提倡建立一支 Platform Ops 团队,通过积极制定一套合适的安全解决方案,赋予开发人员更多有安全保障的选择。在这种情况下,开发人员的任务是为其应用配置安全性,这通常包括部署 Web 应用防火墙 (WAF),即使是面向内部的应用和微服务也不例外。
但是在 Kubernetes(现代应用团队容器编排引擎的事实标准)中,安全左移变得更加复杂,尤其是通信和协调面临的巨大挑战。要求开发人员管理跨多个集群的通信是不现实的。此外,关于 WAF 在 Kubernetes 中的部署位置,也有一些架构和性能上的考量。借助 NGINX App Protect WAF,您可以集成 WAF 与 NGINX Ingress Controller,也可以单独将 WAF 放在特定的微服务或应用前面。
两种方法都很棒,但是不同的方法适合不同的用例。对于只专注于管理自己的应用的开发人员和应用团队来说,在应用前面的 NGINX Plus 负载均衡器上部署 NGINX App Protect WAF 是最理想的选择,这可以赋予他们强大的控制力和敏捷性。对于想要在 pod 或 service 层面上,为 Kubernetes 集群和运行于其中的应用实行安全管理的 DevSecOps 团队来说,在基于 NGINX Plus 的 NGINX Ingress Controller 上运行 NGINX App Protect WAF 是最好的选择,他们可以获得包括 Ingress Controller 和原生集成 Kubernetes API 在内的所有好处。
但是正如我们所说的,跨集群,甚至在集群内部建立负载均衡器、Ingress controller 和 WAF 之间的通信并非易事,它要求对四层和七层的网络功能和持续调优有着深刻的认识。也就是说,稳健且近乎实时的通信对于保持强大的安全态势至关重要。通过适当的通信,WAF、负载均衡器和 Ingress Controller 可以快速将出现的新攻击通知给所有应用和实例,并共享有关攻击类型、目标协议和软件、相关 IP 地址块等信息的数据。如果再添加机器学习技术快速进行模式识别,此类通信将会变得更加有力。
NGINX App Protect WAF 新增 Adaptive Violation Rating 功能
NGINX App Protect WAF 包含一个丰富的机器学习 (ML) 系统,允许 Platform Ops、DevSecOps 和 SecOps 团队在一个组织结构下轻松共享 NGINX Plus 或基于 NGINX Plus 的 NGINX Ingress Controller 管理的所有 WAF 的攻击趋势和数据。我们目前正在开发 NGINX App Protect WAF 的一个新功能:Adaptive Violation Rating(自适应违规评级),该功能利用机器学习检测微服务的行为变化,从而进一步改善安全调优。借助这项机器学习能力,NGINX App Protect WAF 就可以持续自动分析攻击趋势,甚至跨全球数千个或数万个 WAF 进行分析。这些分析结果可以用于近乎实时地持续优化安全性,而不需要开发人员和其他左移团队成为安全专家,也不需要他们在 WAF 上多费心思。更赞的是,NGINX App Protect WAF 实例之间共享的数据越多,WAF 就越智能。
随着企业扩大微服务的使用以及内外部应用之间差异的缩小,机器学习功能变得越来越重要和有价值。一个企业动辄就有成千上万的微服务,并且每个微服务都有自己的轻量级 WAF,在这种环景下,支持机器学习的网络化 NGINX App Protect WAF 无异于一个“安全大脑”, 监视着您的应用程序。现代应用必须变得更智能,才能适应左移团队的需求,让他们专注于代码和功能的发布,而无需太操心安全事宜。同样,也会减少 DevSecOps 团队的后顾之忧,因为他们知道即使没有手动调优,所有集群内的所有 WAF 也会“与时俱进”。
通信是关键。这是我们在所有产品中构建的核心功能,希望能够在这个大规模分布式计算和现代应用快速发展的时代,不断为大家带来最优秀的技术。
有关 NGINX App Protect WAF 的详细信息,请访问我们的产品页面,也欢迎您随时与我们联系!
