近日，火山引擎宣布推出「容器級應(yīng)用和API防護(hù)」能力，幫助企業(yè)與傳統(tǒng)邊界WAF的防御措施相結(jié)合，構(gòu)建云原生應(yīng)用安全的縱深防御體系。

據(jù)介紹，傳統(tǒng)意義上的WAF通常的要求是部署在Web應(yīng)用程序前，在用戶請求到達(dá)Web服務(wù)器前對用戶請求進(jìn)行掃描、過濾、分析并校驗(yàn)每個用戶請求的網(wǎng)絡(luò)包，確保每個用戶請求有效且安全，對無效或有攻擊行為的請求進(jìn)行記錄或隔離。

傳統(tǒng)Web防御原理

而在業(yè)務(wù)云原生化的架構(gòu)下，容器會頻繁啟動停止，應(yīng)用也會通過CI/CD流程持續(xù)的集成更新，容器流量的可視化越來越差。傳統(tǒng)的WAF主要是作為南北向的應(yīng)用安全網(wǎng)關(guān)提供對外防護(hù)，而對于容器節(jié)點(diǎn)、容器集群內(nèi)部這類以東西向流量為主要特征的場景，缺乏有效的保護(hù)。

因此，在基礎(chǔ)架構(gòu)云原生化的趨勢下，火山引擎容器安全通過技術(shù)洞察打造了「容器級應(yīng)用和API防護(hù)」能力，可以檢查特定容器的進(jìn)出流量，有效的保護(hù)云原生工作負(fù)載、應(yīng)用程序堆棧和服務(wù)。火山引擎「容器級應(yīng)用和API防護(hù)」的主功能是保護(hù)容器層面的應(yīng)用流量，從容器的視角防御內(nèi)外部的應(yīng)用攻擊，從而與傳統(tǒng)邊界WAF的防御措施相結(jié)合，構(gòu)建縱深防御體系，而非取代邊界WAF或NGFW。

火山引擎「容器級應(yīng)用和API防護(hù)」的實(shí)現(xiàn)方式

火山引擎「容器級應(yīng)用和API防護(hù)」以非特權(quán)容器的方式啟動運(yùn)行，旁路部署于容器網(wǎng)絡(luò)中，在受保護(hù)的微服務(wù)容器前，對進(jìn)出網(wǎng)絡(luò)流量進(jìn)行旁路分析，并執(zhí)行相應(yīng)的安全策略。使用旁路檢測方式，具有以下優(yōu)勢：在不影響業(yè)務(wù)運(yùn)行效率的前提下，充分利用已有硬件的功能，部署方便，不會影響現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)現(xiàn)靈活的審計與監(jiān)控。

對于那些需要對惡意攻擊進(jìn)行安全阻斷的場景，火山引擎「容器級應(yīng)用和API防護(hù)」通過虛擬網(wǎng)卡，向服務(wù)端容器發(fā)送Reset包的方式，在網(wǎng)絡(luò)層面主動關(guān)閉相應(yīng)的Web連接，并且阻斷方式對當(dāng)前的網(wǎng)絡(luò)運(yùn)行沒有干擾。

火山引擎容器安全的「容器級應(yīng)用和API防護(hù)」實(shí)現(xiàn)原理

由于云原生業(yè)務(wù)特性的不同，火山引擎「容器級應(yīng)用和API防護(hù)」的防護(hù)重點(diǎn)和展現(xiàn)的安全能力，較傳統(tǒng)的WAF也有較大不同：

首先，傳統(tǒng)WAF通過攔截網(wǎng)絡(luò)流量來識別攻擊，除了常見的漏洞防御之外，還會對CC攻擊、網(wǎng)頁篡改、防惡意掃描等進(jìn)行防御。而云原生場景下，常見的CC攻擊、持久化手段在容器資源限制以及不可變基礎(chǔ)設(shè)施的條件下也很難奏效。并且「容器級應(yīng)用和API防護(hù)」更多針對邊界防御被突破或者繞過后，對于平臺內(nèi)部的重點(diǎn)應(yīng)用進(jìn)行安全保護(hù)。基于這樣場景下，「容器級應(yīng)用和API防護(hù)」會重點(diǎn)針對典型的OWASP漏洞進(jìn)行檢測防御，如SQL注入攻擊 、XSS網(wǎng)頁漏洞攻擊 、WebShell、會話固定攻擊等。

其次，火山引擎「容器級應(yīng)用和API防護(hù)」具有自主定義規(guī)則的能力，尤其在應(yīng)急防護(hù)的場景下，能夠迅速自制規(guī)則更新整個應(yīng)用環(huán)境的安全性。火山引擎的「容器級應(yīng)用和API防護(hù)」可以自定義規(guī)則篩選流量，從而保護(hù)Web應(yīng)用程序免受攻擊。例如，可以篩選Web請求中的HTTP標(biāo)頭部分，設(shè)置key/value的鍵值對，這樣就能夠有效阻止特殊類型的攻擊模式。

第三，暴力撞庫是容器業(yè)務(wù)對外開放過程中常見的疑難問題，火山引擎「容器級應(yīng)用和API防護(hù)」擁有良好的防暴力撞庫的能力。為了應(yīng)對暴力撞庫類場景，用戶除了在邊界配置各種安全策略外，在容器層面同樣需要具備定制化的檢測規(guī)則。火山引擎「容器級應(yīng)用和API防護(hù)」能夠?qū)μ囟ǖ腤eb容器進(jìn)行流量檢測防護(hù)，通過用戶識別、閾值管控、實(shí)時響應(yīng)處置等手段，降低關(guān)鍵業(yè)務(wù)被攻擊的安全風(fēng)險。

金融行業(yè)實(shí)踐案例解析

舉例分析，某銀行的網(wǎng)銀業(yè)務(wù)采用云原生業(yè)務(wù)架構(gòu)，由于網(wǎng)銀業(yè)務(wù)屬于面向公眾的重點(diǎn)業(yè)務(wù)，經(jīng)常受到外部黑客的各類攻擊。這些攻擊中，出現(xiàn)的最多情況就是撞庫攻擊，如黑客通過變換手機(jī)號登錄的方式進(jìn)行暴力撞庫登錄。原有的WAF保護(hù)主要集中于邊界的網(wǎng)關(guān)側(cè)，保護(hù)的粒度過粗，并且無法覆蓋容器平臺內(nèi)部的流量互訪，攔截效果一直不理想。

火山引擎容器安全的「容器級應(yīng)用和API防護(hù)」場景實(shí)現(xiàn)

火山引擎「容器級應(yīng)用和API防護(hù)」對指定的容器業(yè)務(wù)進(jìn)行網(wǎng)絡(luò)流量鏡像，掃描器對流量解碼，將數(shù)據(jù)按照指定規(guī)則進(jìn)行過濾。檢測規(guī)則要素可包括時間、用戶標(biāo)簽、登錄數(shù)量、失敗情況等。對于檢測出的攻擊，會作為安全事件上報。如果設(shè)置的動作是中斷鏈接，火山引擎應(yīng)用和API防護(hù)的掃描器會向業(yè)務(wù)容器發(fā)送Reset報文來中斷鏈接。

在實(shí)踐過程中，火山引擎「容器級應(yīng)用和API防護(hù)」所使用的流量檢測手段是離線方式，即僅采集特定容器的流量，不會干擾業(yè)務(wù)系統(tǒng)的運(yùn)行。數(shù)據(jù)過濾時，能夠根據(jù)規(guī)則抽取特定的業(yè)務(wù)數(shù)據(jù)，并利用業(yè)務(wù)數(shù)據(jù)進(jìn)行規(guī)則判斷。通過以上先進(jìn)的技術(shù)手段，火山引擎容器安全在用戶的網(wǎng)銀業(yè)務(wù)層面構(gòu)建起有效安全保護(hù)能力，降低業(yè)務(wù)遭受撞庫等攻擊的風(fēng)險。

火山引擎容器安全基于字節(jié)跳動多年的云原生安全實(shí)踐經(jīng)驗(yàn)，打造原生化安全能力，從多個維度為客戶的云上業(yè)務(wù)提供有深度有質(zhì)量的安全保護(hù)，廣泛適用于各類公有云、私有云及混合云場景，讓云原生安全更加可見、可知、可控。（作者：韓苗苗)