qdwht
作者qdwht2021-08-03 11:50
系统架构师, 红帽企业级开源解决方案中心

容器云集群下,关于WAF能力的一些思考,stackrox,openshift

字数 768阅读 1312评论 0赞 1

1、传统的WAF不适合容器下的环境,这是因为

a:传统WAF通过拦截网络流量来识别攻击,并且通常在应用端部署运行,但是这种看大门似的拦截方式,不适合容器环境中的多维网络和海量应用模式。

b:传统WAF很难检测容器环境下的提权操作。

c:传统模式下,常见的探测手段如:whoami, ps aux,在容器环境下,已对攻击者没有太大意义。

d:常见的DDos攻击,因为容器资源的天然限制,使得此类攻击很难达到效果。

e:常见的持久化手段、关闭防火墙的方式,在容器不可变基础设施条件下,也常常无效。

2、stackrox类相关容器安全产品,对容器环境WAF能力的增强。

a: 在复杂的容器环境下,网络噪音和攻击信号更难识别,以容器而不是以应用为检测对象,使攻击信号更容易分辨。

b:stackrox通过捕获包括系统调用、网络流量和容器执行命令等容器信号,结合机器学习的能力检测业务容器正常运行下的恶意行为。

c:StackRox识别网络流量中常见的注入攻击,并识别网络和文件系统数据中的编程语言、编码、数据类型和常见凭证格式。它还检查哪些进程正在访问它们。

d:StackRox将对攻击相关的恶意活动发出警报(根据用户定义的策略)

e:在受到危险的攻击后,可采用积极主动的响应手段,调动orchestrator重启容器。

3、以上,仅适合集群内环境下,但是有些关键点还是需要结合传统的WAF和防火墙系统实现。

a:宿主机,推荐使用coreos,也可以极大增强这方面的安全能力。

b:router pod,router是容器集群环境下,唯一一个类传统模式的应用,仍然适合传统的WAF系统。

参考资料:
https://www.stackrox.com/post/2017/08/protecting-against-containerized-web-app-attacks/

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

1

添加新评论0 条评论

Ctrl+Enter 发表

容器云管理平台选型优先顺序调查

发表您的选型观点,参与即得50金币。

作者其他文章