如何给Envoy添加安全功能
更新:HHH   时间:2023-1-7


这篇文章主要讲解了“如何给Envoy添加安全功能”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“如何给Envoy添加安全功能”吧!


随着Envoy[1]的不断发展并得到更广泛的采用,下一步自然是利用其固有的可扩展性来添加安全功能。

对于今天的任何云原生组织来说,健壮的安全性显然都是至关重要的需求。威胁方资金充足,技能高超,而且冷酷无情。与此同时,组织继续部署更多的应用程序、服务和API,从而继续扩大他们的攻击面。

商业市场提供了许多安全解决方案,可以过滤和阻止传入流量中的恶意请求。然而,这些都是专有的、封闭源代码的产品。对于喜欢开放解决方案的用户来说,这种情况显然不是理想的。

更糟糕的是,大多数专有解决方案都在用户环境的范围之外运行。这意味着必须将流量流路由到供应商的基础设施,对其进行解密、分析,然后重新加密,然后才能将其发送到用户环境。这不仅会带来额外的延迟,还会将用户的数据和指标暴露给第三方,从而严重损害隐私。

Envoy使我们有机会解决所有这些问题。

Envoy是一种理想的web安全机制。它可以在不同的规模过滤流量;它可以用作整个环境的入口网关,也可以用于过滤单个微服务或介于两者之间的任何流量。它采用L3/L4架构,在字节基础上处理流量——这允许在上面添加应用层处理。

最重要的是,它是可扩展的。它被设计成可以很容易地通过附加功能(如web安全)进行扩充。

然而,添加安全性并不是一件简单的事情。今天的威胁环境是广泛和多样的;Envoy安全扩展将需要内部逻辑,以多种方式分析流量,以识别许多不同类型的可能攻击。这种分析需要是有状态的,不仅在会话内,而且跨流量源。(虽然一些攻击——例如SQL注入——可以在单个请求中检测到,但其他类型的攻击则使用一系列单独看似无害的请求进行。)

此外,威胁环境也在不断演变。因此,这个扩展将需要消耗威胁情报信息,并在新威胁出现是能够自动更新其安全态势。

此外,Envoy以拥有最好的可观察性而闻名,因此安全扩展应该与此相一致。用户应该能够看到在他们的环境中发生的一切,并理解所有正在做出的流量过滤决策,以及为什么。

最后,这个扩展需要支持云原生的实践,并在生态系统中很好地工作。理想情况下,它应该是开源的。

 

Curiefense:Envoy的安全扩展

Curiefense(https://www.curiefense.io/)是根据这些需求设计的OSS Envoy扩展。

Curiefense(以著名科学家Marie Curie[2]的名字命名)增加了一组广泛的自动化web安全工具:WAF、DDoS保护、bot管理、API安全、速率限制、会话流控制等等。它所包含的功能可以与商业闭源安全解决方案相匹敌,在许多情况下甚至超过它们。

使用Envoy扩展来过滤流量使得外部第三方解决方案没有必要,因为安全可以融入环境本身。这意味着云原生组织将不再需要在延迟、开放性、厂商锁定或隐私等问题上妥协。

Curiefense是CNCF的沙箱项目。该项目旨在提供一个开放、可扩展、自适应和不断发展的GitOps平台——一个在提供强大安全性的同时仍然为用户保留全部隐私的平台

感谢各位的阅读,以上就是“如何给Envoy添加安全功能”的内容了,经过本文的学习后,相信大家对如何给Envoy添加安全功能这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是天达云,小编将为大家推送更多相关知识点的文章,欢迎关注!

返回云计算教程...