近日，火山引擎宣布推出「容器級(jí)應(yīng)用和API防護(hù)」能力，幫助企業(yè)與傳統(tǒng)邊界WAF的防御措施相結(jié)合，構(gòu)建云原生應(yīng)用安全的縱深防御體系。

據(jù)介紹，傳統(tǒng)意義上的WAF通常的要求是部署在Web應(yīng)用程序前，在用戶(hù)請(qǐng)求到達(dá)Web服務(wù)器前對(duì)用戶(hù)請(qǐng)求進(jìn)行掃描、過(guò)濾、分析并校驗(yàn)每個(gè)用戶(hù)請(qǐng)求的網(wǎng)絡(luò)包，確保每個(gè)用戶(hù)請(qǐng)求有效且安全，對(duì)無(wú)效或有攻擊行為的請(qǐng)求進(jìn)行記錄或隔離。

傳統(tǒng)Web防御原理

而在業(yè)務(wù)云原生化的架構(gòu)下，容器會(huì)頻繁啟動(dòng)停止，應(yīng)用也會(huì)通過(guò)CI/CD流程持續(xù)的集成更新，容器流量的可視化越來(lái)越差。傳統(tǒng)的WAF主要是作為南北向的應(yīng)用安全網(wǎng)關(guān)提供對(duì)外防護(hù)，而對(duì)于容器節(jié)點(diǎn)、容器集群內(nèi)部這類(lèi)以東西向流量為主要特征的場(chǎng)景，缺乏有效的保護(hù)。

因此，在基礎(chǔ)架構(gòu)云原生化的趨勢(shì)下，火山引擎容器安全通過(guò)技術(shù)洞察打造了「容器級(jí)應(yīng)用和API防護(hù)」能力，可以檢查特定容器的進(jìn)出流量，有效的保護(hù)云原生工作負(fù)載、應(yīng)用程序堆棧和服務(wù)。火山引擎「容器級(jí)應(yīng)用和API防護(hù)」的主功能是保護(hù)容器層面的應(yīng)用流量，從容器的視角防御內(nèi)外部的應(yīng)用攻擊，從而與傳統(tǒng)邊界WAF的防御措施相結(jié)合，構(gòu)建縱深防御體系，而非取代邊界WAF或NGFW。

火山引擎「容器級(jí)應(yīng)用和API防護(hù)」的實(shí)現(xiàn)方式

火山引擎「容器級(jí)應(yīng)用和API防護(hù)」以非特權(quán)容器的方式啟動(dòng)運(yùn)行，旁路部署于容器網(wǎng)絡(luò)中，在受保護(hù)的微服務(wù)容器前，對(duì)進(jìn)出網(wǎng)絡(luò)流量進(jìn)行旁路分析，并執(zhí)行相應(yīng)的安全策略。使用旁路檢測(cè)方式，具有以下優(yōu)勢(shì)：在不影響業(yè)務(wù)運(yùn)行效率的前提下，充分利用已有硬件的功能，部署方便，不會(huì)影響現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)現(xiàn)靈活的審計(jì)與監(jiān)控。

對(duì)于那些需要對(duì)惡意攻擊進(jìn)行安全阻斷的場(chǎng)景，火山引擎「容器級(jí)應(yīng)用和API防護(hù)」通過(guò)虛擬網(wǎng)卡，向服務(wù)端容器發(fā)送Reset包的方式，在網(wǎng)絡(luò)層面主動(dòng)關(guān)閉相應(yīng)的Web連接，并且阻斷方式對(duì)當(dāng)前的網(wǎng)絡(luò)運(yùn)行沒(méi)有干擾。

火山引擎容器安全的「容器級(jí)應(yīng)用和API防護(hù)」實(shí)現(xiàn)原理

由于云原生業(yè)務(wù)特性的不同，火山引擎「容器級(jí)應(yīng)用和API防護(hù)」的防護(hù)重點(diǎn)和展現(xiàn)的安全能力，較傳統(tǒng)的WAF也有較大不同：

首先，傳統(tǒng)WAF通過(guò)攔截網(wǎng)絡(luò)流量來(lái)識(shí)別攻擊，除了常見(jiàn)的漏洞防御之外，還會(huì)對(duì)CC攻擊、網(wǎng)頁(yè)篡改、防惡意掃描等進(jìn)行防御。而云原生場(chǎng)景下，常見(jiàn)的CC攻擊、持久化手段在容器資源限制以及不可變基礎(chǔ)設(shè)施的條件下也很難奏效。并且「容器級(jí)應(yīng)用和API防護(hù)」更多針對(duì)邊界防御被突破或者繞過(guò)后，對(duì)于平臺(tái)內(nèi)部的重點(diǎn)應(yīng)用進(jìn)行安全保護(hù)?；谶@樣場(chǎng)景下，「容器級(jí)應(yīng)用和API防護(hù)」會(huì)重點(diǎn)針對(duì)典型的OWASP漏洞進(jìn)行檢測(cè)防御，如SQL注入攻擊 、XSS網(wǎng)頁(yè)漏洞攻擊 、WebShell、會(huì)話(huà)固定攻擊等。

其次，火山引擎「容器級(jí)應(yīng)用和API防護(hù)」具有自主定義規(guī)則的能力，尤其在應(yīng)急防護(hù)的場(chǎng)景下，能夠迅速自制規(guī)則更新整個(gè)應(yīng)用環(huán)境的安全性。火山引擎的「容器級(jí)應(yīng)用和API防護(hù)」可以自定義規(guī)則篩選流量，從而保護(hù)Web應(yīng)用程序免受攻擊。例如，可以篩選Web請(qǐng)求中的HTTP標(biāo)頭部分，設(shè)置key/value的鍵值對(duì)，這樣就能夠有效阻止特殊類(lèi)型的攻擊模式。

第三，暴力撞庫(kù)是容器業(yè)務(wù)對(duì)外開(kāi)放過(guò)程中常見(jiàn)的疑難問(wèn)題，火山引擎「容器級(jí)應(yīng)用和API防護(hù)」擁有良好的防暴力撞庫(kù)的能力。為了應(yīng)對(duì)暴力撞庫(kù)類(lèi)場(chǎng)景，用戶(hù)除了在邊界配置各種安全策略外，在容器層面同樣需要具備定制化的檢測(cè)規(guī)則?；鹕揭妗溉萜骷?jí)應(yīng)用和API防護(hù)」能夠?qū)μ囟ǖ腤eb容器進(jìn)行流量檢測(cè)防護(hù)，通過(guò)用戶(hù)識(shí)別、閾值管控、實(shí)時(shí)響應(yīng)處置等手段，降低關(guān)鍵業(yè)務(wù)被攻擊的安全風(fēng)險(xiǎn)。

金融行業(yè)實(shí)踐案例解析

舉例分析，某銀行的網(wǎng)銀業(yè)務(wù)采用云原生業(yè)務(wù)架構(gòu)，由于網(wǎng)銀業(yè)務(wù)屬于面向公眾的重點(diǎn)業(yè)務(wù)，經(jīng)常受到外部黑客的各類(lèi)攻擊。這些攻擊中，出現(xiàn)的最多情況就是撞庫(kù)攻擊，如黑客通過(guò)變換手機(jī)號(hào)登錄的方式進(jìn)行暴力撞庫(kù)登錄。原有的WAF保護(hù)主要集中于邊界的網(wǎng)關(guān)側(cè)，保護(hù)的粒度過(guò)粗，并且無(wú)法覆蓋容器平臺(tái)內(nèi)部的流量互訪，攔截效果一直不理想。

火山引擎容器安全的「容器級(jí)應(yīng)用和API防護(hù)」場(chǎng)景實(shí)現(xiàn)

火山引擎「容器級(jí)應(yīng)用和API防護(hù)」對(duì)指定的容器業(yè)務(wù)進(jìn)行網(wǎng)絡(luò)流量鏡像，掃描器對(duì)流量解碼，將數(shù)據(jù)按照指定規(guī)則進(jìn)行過(guò)濾。檢測(cè)規(guī)則要素可包括時(shí)間、用戶(hù)標(biāo)簽、登錄數(shù)量、失敗情況等。對(duì)于檢測(cè)出的攻擊，會(huì)作為安全事件上報(bào)。如果設(shè)置的動(dòng)作是中斷鏈接，火山引擎應(yīng)用和API防護(hù)的掃描器會(huì)向業(yè)務(wù)容器發(fā)送Reset報(bào)文來(lái)中斷鏈接。

在實(shí)踐過(guò)程中，火山引擎「容器級(jí)應(yīng)用和API防護(hù)」所使用的流量檢測(cè)手段是離線方式，即僅采集特定容器的流量，不會(huì)干擾業(yè)務(wù)系統(tǒng)的運(yùn)行。數(shù)據(jù)過(guò)濾時(shí)，能夠根據(jù)規(guī)則抽取特定的業(yè)務(wù)數(shù)據(jù)，并利用業(yè)務(wù)數(shù)據(jù)進(jìn)行規(guī)則判斷。通過(guò)以上先進(jìn)的技術(shù)手段，火山引擎容器安全在用戶(hù)的網(wǎng)銀業(yè)務(wù)層面構(gòu)建起有效安全保護(hù)能力，降低業(yè)務(wù)遭受撞庫(kù)等攻擊的風(fēng)險(xiǎn)。

火山引擎容器安全基于字節(jié)跳動(dòng)多年的云原生安全實(shí)踐經(jīng)驗(yàn)，打造原生化安全能力，從多個(gè)維度為客戶(hù)的云上業(yè)務(wù)提供有深度有質(zhì)量的安全保護(hù)，廣泛適用于各類(lèi)公有云、私有云及混合云場(chǎng)景，讓云原生安全更加可見(jiàn)、可知、可控。（作者：韓苗苗)