1、传统的WAF不适合容器下的环境，这是因为

a：传统WAF通过拦截网络流量来识别攻击，并且通常在应用端部署运行，但是这种看大门似的拦截方式，不适合容器环境中的多维网络和海量应用模式。

b：传统WAF很难检测容器环境下的提权操作。

c：传统模式下，常见的探测手段如：whoami, ps aux，在容器环境下，已对攻击者没有太大意义。

d：常见的DDos攻击，因为容器资源的天然限制，使得此类攻击很难达到效果。

e：常见的持久化手段、关闭防火墙的方式，在容器不可变基础设施条件下，也常常无效。

2、stackrox类相关容器安全产品，对容器环境WAF能力的增强。

a: 在复杂的容器环境下，网络噪音和攻击信号更难识别，以容器而不是以应用为检测对象，使攻击信号更容易分辨。

b：stackrox通过捕获包括系统调用、网络流量和容器执行命令等容器信号，结合机器学习的能力检测业务容器正常运行下的恶意行为。

c：StackRox识别网络流量中常见的注入攻击，并识别网络和文件系统数据中的编程语言、编码、数据类型和常见凭证格式。它还检查哪些进程正在访问它们。

d：StackRox将对攻击相关的恶意活动发出警报（根据用户定义的策略）

e：在受到危险的攻击后，可采用积极主动的响应手段，调动orchestrator重启容器。

3、以上，仅适合集群内环境下，但是有些关键点还是需要结合传统的WAF和防火墙系统实现。

a：宿主机，推荐使用coreos，也可以极大增强这方面的安全能力。

b：router pod，router是容器集群环境下，唯一一个类传统模式的应用，仍然适合传统的WAF系统。

参考资料：
https://www.stackrox.com/post/2017/08/protecting-against-containerized-web-app-attacks/