近日，火山引擎宣布推出「容器級應用和API防護」能力，幫助企業與傳統邊界WAF的防御措施相結合，構建云原生應用安全的縱深防御體系。

據介紹，傳統意義上的WAF通常的要求是部署在Web應用程序前，在用戶請求到達Web服務器前對用戶請求進行掃描、過濾、分析并校驗每個用戶請求的網絡包，確保每個用戶請求有效且安全，對無效或有攻擊行為的請求進行記錄或隔離。

傳統Web防御原理

而在業務云原生化的架構下，容器會頻繁啟動停止，應用也會通過CI/CD流程持續的集成更新，容器流量的可視化越來越差。傳統的WAF主要是作為南北向的應用安全網關提供對外防護，而對于容器節點、容器集群內部這類以東西向流量為主要特征的場景，缺乏有效的保護。

因此，在基礎架構云原生化的趨勢下，火山引擎容器安全通過技術洞察打造了「容器級應用和API防護」能力，可以檢查特定容器的進出流量，有效的保護云原生工作負載、應用程序堆棧和服務。火山引擎「容器級應用和API防護」的主功能是保護容器層面的應用流量，從容器的視角防御內外部的應用攻擊，從而與傳統邊界WAF的防御措施相結合，構建縱深防御體系，而非取代邊界WAF或NGFW。

火山引擎「容器級應用和API防護」的實現方式

火山引擎「容器級應用和API防護」以非特權容器的方式啟動運行，旁路部署于容器網絡中，在受保護的微服務容器前，對進出網絡流量進行旁路分析，并執行相應的安全策略。使用旁路檢測方式，具有以下優勢：在不影響業務運行效率的前提下，充分利用已有硬件的功能，部署方便，不會影響現有的網絡結構，實現靈活的審計與監控。

對于那些需要對惡意攻擊進行安全阻斷的場景，火山引擎「容器級應用和API防護」通過虛擬網卡，向服務端容器發送Reset包的方式，在網絡層面主動關閉相應的Web連接，并且阻斷方式對當前的網絡運行沒有干擾。

火山引擎容器安全的「容器級應用和API防護」實現原理

由于云原生業務特性的不同，火山引擎「容器級應用和API防護」的防護重點和展現的安全能力，較傳統的WAF也有較大不同：

首先，傳統WAF通過攔截網絡流量來識別攻擊，除了常見的漏洞防御之外，還會對CC攻擊、網頁篡改、防惡意掃描等進行防御。而云原生場景下，常見的CC攻擊、持久化手段在容器資源限制以及不可變基礎設施的條件下也很難奏效。并且「容器級應用和API防護」更多針對邊界防御被突破或者繞過后，對于平臺內部的重點應用進行安全保護。基于這樣場景下，「容器級應用和API防護」會重點針對典型的OWASP漏洞進行檢測防御，如SQL注入攻擊 、XSS網頁漏洞攻擊 、WebShell、會話固定攻擊等。

其次，火山引擎「容器級應用和API防護」具有自主定義規則的能力，尤其在應急防護的場景下，能夠迅速自制規則更新整個應用環境的安全性。火山引擎的「容器級應用和API防護」可以自定義規則篩選流量，從而保護Web應用程序免受攻擊。例如，可以篩選Web請求中的HTTP標頭部分，設置key/value的鍵值對，這樣就能夠有效阻止特殊類型的攻擊模式。

第三，暴力撞庫是容器業務對外開放過程中常見的疑難問題，火山引擎「容器級應用和API防護」擁有良好的防暴力撞庫的能力。為了應對暴力撞庫類場景，用戶除了在邊界配置各種安全策略外，在容器層面同樣需要具備定制化的檢測規則。火山引擎「容器級應用和API防護」能夠對特定的Web容器進行流量檢測防護，通過用戶識別、閾值管控、實時響應處置等手段，降低關鍵業務被攻擊的安全風險。

金融行業實踐案例解析

舉例分析，某銀行的網銀業務采用云原生業務架構，由于網銀業務屬于面向公眾的重點業務，經常受到外部黑客的各類攻擊。這些攻擊中，出現的最多情況就是撞庫攻擊，如黑客通過變換手機號登錄的方式進行暴力撞庫登錄。原有的WAF保護主要集中于邊界的網關側，保護的粒度過粗，并且無法覆蓋容器平臺內部的流量互訪，攔截效果一直不理想。

火山引擎容器安全的「容器級應用和API防護」場景實現

火山引擎「容器級應用和API防護」對指定的容器業務進行網絡流量鏡像，掃描器對流量解碼，將數據按照指定規則進行過濾。檢測規則要素可包括時間、用戶標簽、登錄數量、失敗情況等。對于檢測出的攻擊，會作為安全事件上報。如果設置的動作是中斷鏈接，火山引擎應用和API防護的掃描器會向業務容器發送Reset報文來中斷鏈接。

在實踐過程中，火山引擎「容器級應用和API防護」所使用的流量檢測手段是離線方式，即僅采集特定容器的流量，不會干擾業務系統的運行。數據過濾時，能夠根據規則抽取特定的業務數據，并利用業務數據進行規則判斷。通過以上先進的技術手段，火山引擎容器安全在用戶的網銀業務層面構建起有效安全保護能力，降低業務遭受撞庫等攻擊的風險。

火山引擎容器安全基于字節跳動多年的云原生安全實踐經驗，打造原生化安全能力，從多個維度為客戶的云上業務提供有深度有質量的安全保護，廣泛適用于各類公有云、私有云及混合云場景，讓云原生安全更加可見、可知、可控。（作者：韓苗苗)