使用 NGINX App Protect WAF 中的新机器学习保护您的 Kubernetes 集群

现代应用团队越来越意识到“安全左移”的重要性和好处，即在应用开发和部署周期的早期就纳入安全控制。 在左移的世界中，每个团队都会选择最适合其应用的安全解决方案和参数。 当然，这是合理的；我们 NGINX 提倡成立一个平台运营团队，通过积极策划一套适当的安全解决方案，为开发人员提供“有护栏的选择”。 然后，开发人员需要负责为其应用程序配置安全性，这通常包括部署 Web应用防火墙 (WAF)，甚至针对面向内部的应用和微服务也是如此。

但是在 Kubernetes（现代应用团队事实上的标准容器编排引擎）中，左移变得更加复杂，尤其是沟通和协调带来了巨大的挑战。 要求开发人员管理跨多个集群的通信是不现实的。 此外，在 Kubernetes 中放置 WAF 还需要考虑架构和性能问题。 使用 NGINX App Protect WAF，您可以将 WAF 与 NGINX Ingress Controller 集成，也可以在特定的微服务或应用前面放置单独的 WAF。

两种方法都很好，但每种方法都适合不同的用例。 对于专注于管理自己的应用的开发人员和应用程序团队来说，在应用程序前面的 NGINX Plus 负载均衡器上部署 NGINX App Protect WAF 是一个完美的解决方案，可以为他们提供控制力和灵活性。 对于想要在 Kubernetes 集群及其中运行的应用的 pod 或服务级别管理安全性的 DevSecOps 团队来说，在基于 NGINX Plus 的 NGINX Ingress Controller 上运行 NGINX App Protect WAF 是最佳选择，这为他们提供了 Ingress 控制和与 Kubernetes API 本机集成的所有好处。

然而，正如我们所提到的，跨集群甚至集群内建立负载均衡器、Ingress 控制器和 WAF 之间的通信具有挑战性。 它需要详细了解第 7 层和第 4 层网络并不断进行调整。 也就是说，强大且近乎实时的通信对于维持强大的安全态势至关重要。 通过适当的通信，WAF、负载均衡器和 Ingress 控制器可以快速通知所有应用和实例新的攻击，并共享有关攻击类型、目标协议和软件、相关 IP 地址块等的数据。 当添加机器学习（ML）以实现快速模式识别时，通信将变得更加强大。

NGINX App Protect WAF 中的新自适应违规评级功能

NGINX App Protect WAF 包含丰富的 ML 系统，使平台操作、DevSecOps 和 SecOps 团队可以轻松地在单个组织中 NGINX Plus 或基于 NGINX Plus 的 NGINX Ingress Controller 下管理的所有 WAF 之间共享攻击趋势和数据。 我们正在开发 NGINX App Protect WAF 的一项新功能，即自适应违规评级功能，该功能进一步利用 ML 来检测微服务行为何时发生变化，从而改进安全性调整。 借助此 ML 功能，NGINX App Protect WAF 可以持续自动地分析攻击趋势，即使全球有数千或数万个 WAF。 该分析的结果可用于近乎实时地持续调整安全态势，而无需开发人员和其他左移团队成为安全专家并摆弄他们的 WAF。 更好的是，NGINX App Protect WAF 实例之间共享的数据越多，WAF 就越智能。

随着企业扩大微服务的使用范围以及内部和外部应用之间的区别缩小，机器学习功能变得越来越重要和有价值。 由于可能有数千个微服务，每个微服务都有自己的轻量级 WAF，因此联网且支持 ML 的 NGINX App Protect WAF 相当于一个监视您应用程序的活体安全大脑。 现代应用程序必须更加智能，以适应左移团队，并允许他们专注于交付代码和功能，而无需成为安全专家。 DevSecOps 团队也可以放心，因为他们知道即使没有手动调整，所有集群中的所有 WAF 也都处于同一页面上。

沟通是关键。 这是我们在所有产品中构建的一项核心功能，以便在这个快速发展的大规模分布式计算和现代应用时代继续提供最好的技术。

有关我们添加到 NGINX App Protect WAF 的新 ML 功能的详细信息和演示，请下周在旧金山举行的2022 年 RSA 大会上参观莫斯康中心北厅 5771 号展位或联系我们。