【应用安全】Web应用程序防火墙与容器防火墙
容器防火墙与Web应用程序防火墙有何不同?
应用程序容器提供了一种有效的方法来部署和管理应用程序,包括面向web的应用程序。但是随着容器化,保护应用程序变得更加具有挑战性。我经常被问到web应用程序防火墙与容器防火墙的比较。我还被问到下一代防火墙(NGFW)与容器防火墙的比较,您可以在这里阅读这个比较。
简要介绍一下web应用程序防火墙是一种特殊的功能设备或软件,旨在保护对面向web的应用程序的外部访问,而与此相反,容器防火墙保护容器之间的所有内部东西通信,同时还包括WAF的一些保护。容器防火墙还包含许多其他特性,如上一节讨论的持续容器安全性。
在现代快速部署过程中保护应用程序需要将安全性构建到从构建、发布到运行的整个周期中。在容器部署到生产环境之前,应该使用代码扫描和镜像漏洞扫描工具。在生产环境中,传统安全工具的组合应该与云本地容器安全工具一起部署。
从单片应用程序到微服务的转变带来了不同的网络模式和新的安全问题。传统的防火墙和web应用程序防火墙很难看到主机内部或主机之间的东西方内部通信,特别是在容器环境中,随着容器的启动和消失而不断变化。那么NGFWs和WAFs不需要用于保护容器吗?
使用网络防火墙和专用的web应用程序防火墙来保护应用程序免受攻击仍然非常重要。在下面的图中,NGFW提供了多协议检查和保护,免受不可信网络的攻击。此外,WAF还保护面向外部的web前端应用程序免受外部客户机攻击。WAF提供了针对web应用程序的最常见攻击的专门保护。
然而,由于现在正将单片web应用程序迁移到可能具有数十或数百个后端服务的面向客户的容器(服务),因此需要容器防火墙提供额外的安全层。容器的设计是以秒为单位进行部署的,编排系统可以在相同的主机上或跨主机上启动新的容器,这取决于服务需求和可用的主机资源。每个容器都有自己的映射网络接口,这些接口被动态分配和释放。容器还可以使用不同于标准HTTP的协议和端口进行通信,因此同时具备网络和应用程序安全特性非常重要。
容器防火墙的特性
容器防火墙检查并保护进出容器的所有流量。它能够保护云本地工作负载、应用程序堆栈和服务。容器防火墙还必须保护从外部网络和遗留应用程序到容器的入口和出口,这与WAF不同,WAF保护基于web的客户机对前端应用程序的访问。
以下是容器防火墙的主要功能:
- 原生云。了解编制和容器平台服务(dns、负载平衡器)、部署模型(如服务、pod、复制)、网络覆盖(overlays)、名称空间等。
- 应用智能。从元数据和行为分析中学习应用程序的意图。特点包括:
- 基于应用程序(第7层)的协议检查和保护。不使用IPtables或只使用L3/L4规则。
- 基于流行的应用协议,如redis, mysql, mongodb,识别和执行策略。
- 基于白名单,自动更新规则。发现应用程序行为和安全需求,并适应更改和更新。
- 与容器编制集成。跨越主机、云和适应更新。
- 容器威胁保护。防止常见的应用程序级攻击,如DDoS、DNS攻击。许多这样的保护也可以在web应用程序防火墙中找到。
- 黑名单和自定义规则。能够基于容器标签、IP地址、范围或其他L3/L4策略设置规则。
- 其他主机安全和审计功能。请参阅关于连续容器安全性的最后一节。
- CI / CD集成。自动化部署和管理,以适应持续集成和交付管道。
因为容器防火墙主要用于保护容器流量,所以它并不打算取代边缘的NGFW、IDS/ IPS或WAF。但是,它必须防止常见的已知应用程序攻击,这些攻击可能源自内部。
Web应用程序防火墙(WAF)的特性
Web应用程序防火墙为基于Web的流量提供高级保护,通常是HTTP/S,其中来自internet的流量首先与应用程序的“前端”交互。大多数WAFs检测到许多应用程序威胁,包括OWASP Top 10。
一般来说,web应用程序防火墙将包括以下功能:
- 检测应用程序的攻击。检测SQL注入、跨站点脚本(XSS)、DDoS、DNS攻击等。
- 协议、逻辑和对象格式支持。JavaScript、SQL、HTML、XML、JSON、cookie等。
- 支持HTTP和HTTPS。一些WAFs将终止SSL连接,而另一些则依赖于前面的负载平衡器来终止连接。
- 虚拟修补。暂时“修补”漏洞与网络黑名单政策,直到应用程序可以修补。
图表:WAF与容器防火墙比较
WEB APPLICATION FIREWALL (WAF) | CONTAINER FIREWALL | |
---|---|---|
Functions |
|
|
Deployment |
|
|
Integration |
|
|
连续的容器安全
容器防火墙解决方案不仅可以提供基于网络的应用程序保护,还可以提供许多其他特性。因为容器防火墙分布在主机上,所以它们还可以提供主机安全性和审计功能。通过与Docker引擎和编制平台集成,容器防火墙可以提供流程检查、安全审计和资源监视。下面是一些其他的功能:
- 主机和容器进程监视,以检测权限升级和可疑进程
- 漏洞扫描(注册中心、主机、容器)
- 使用Docker Bench和CIS基准进行安全性测试,用于审计和合规性。
向基于容器的应用程序的转变需要新的安全技术来保护容器。比较web应用程序防火墙和容器防火墙是很有趣的,但是最好的安全性是一种分层策略,它使用两者来保护基础设施的不同部分。
关于作者:Gary Duan
Gary是NeuVector的联合创始人兼首席技术官。他在网络、安全、云和数据中心软件方面拥有超过15年的经验。他是Fortinet获奖DPI产品的架构师,并管理过Fortinet、思科和Altigen的开发团队。他的技术专长包括IDS/IPS、OpenStack、NSX和编制系统。他在安全和数据中心技术方面拥有多项专利。
原文:https://neuvector.com/network-security/web-application-firewall-vs-container-firewall/
本文:https://pub.intelligentx.net/web-application-firewall-vs-container-firewall
讨论:请加入知识星球或者小红圈【首席架构师圈】
- 222 次浏览