点赞
评论
收藏
分享
举报
云原生应用的安全防护,有啥不同
发表于2020-11-30 21:00

浏览 922

文章标签

带着这样的疑问最近翻阅了社区的几篇最新的文章,先摘录杂烩了一些特别高大上的观点,学习下。

---

云原生的应用程序交付似乎比想象中来的更快。

NGINXIDC委托于2019年对API management做了一次调查,其中两个数据特别有意思:

1、到2020底(还有一个月),有27%的企业计划将在云中部署超过一半的应用程序。

2、到2022底,云原生应用的比例将达到总应用数的35%。


结合国内运营商在公有云、私有云不断的加码投入与厮杀,越来越多的证据似乎都在说明,向云迁移和云原生应用程序开发的速度与比例才是数据化转型积极与否的标志。


随着云原生应用部署的增多和加快,应用交付难题又要再次被审视: 安全性与可见性。


在云原生应用交付中的一些痛点慢慢凸显出来:

1.统一的企业级服务体验有点难:它们不一样

与本地应用相比,托管在云中的应用被认为更难管理,这不是因为安全性和可见性选项更差,而仅仅是因为它们不一样。与本地部署的应用安全不同,就像一个人从学校进入社会,没有了大环境安全加持,云原生应用只能依赖于云友好工具将安全性构建到每个应用程序的生命周期中。但是,工具因云而异,质量和功能数量的级别不同,使得云迁移或跨云应用的可见性和控制不一致。


2. 上云之后,会更经济便宜?

传统观点认为,公有云比本地部署便宜,共享经济的魅力嘛。然而,结果还不并不明确,因为建了之后才能知道成本。按流量计费本身就有不确定性;迁移过程臃肿的代码也会增加成本;如果业务扩展需要,当部署到不同的云上时,原来的安全技术投资势必会再来一次。


3. SecOps vs. DevOps,安全 pk 速度

疫情肆虐导致了全球的高失业率和经济衰退,但安全方面的人才仍然热供不应求。然而即使配备了足够的人员,云平台安全工具泛滥呈现出陡峭的学习曲线,迫使SecOps团队(安全运营团队)也需要很努力才能跟上现代应用发布的节奏。现实的情况是为了达到速度而牺牲了安全性。


BUT,这些问题有解么? 一种解决思路就是:

l  减少工具泛滥并提供一套标准的服务

l  通过轻巧简便的解决方案控制成本

l  通过自动化和自服务能力将团队融合在一起


一向运气爆棚的NGINX又一次踩准了节奏,在云原生开发的基础上进行了安全服务的尝试,又一次向最快发起挑战。


NGINX,俄裔,16岁,精通负载均衡,反向代理,API网关等,在融入主流门派后(F5),最近新get新技能NGINX App Protect; 灵活小巧,不仅出招快(高性能应用交付),防守能力也很出众(WAF能力); 适应能力强,可单带(独立部署),也可以团战(与云服务集成)。


NGINX怎样提供一套标准的服务? 不同场景下,提供不同选择:

l  NGINX App Protect 可以与NGINX Plus一起部署。唯一的全能性部署,可以与负载均衡、反向代理、API网关一同部署。

l  NGINX App Protect 可以嵌入部署到NGINX Ingress Controller,后者是容器化云原生环境最佳的流量管理方案之一。

l  NGINX Controller是为多云部署的NGINX Plus instance提供统一的管理和可视化,目前Control App Secuirty正在Beta测试中。


降低成本? 一次部署,全部拥有。

轻巧,低延迟 – NGINX用它广泛的使用案例宣告自己是地球上最轻,最快的数据面解决方案产品。可在不影响性能的情况下提高安全性。


自动化与自服务的能力

l  CI / CD集成 – NGINX解决方案可以使用API集成到DevOps工作流程中,并且与包括AnsibleChefPuppet在内的流行工具兼容。DevOps可以快速部署负载均衡器,DNS和安全能力,同时允许NetOpsSecOps保留对关键业务应用程序的网络和安全性的控制。

l  自助服务 – NetOpsSecOps团队可以通过设置预先批准的参数来建立防护栏(而不是大门),使开发人员可以管理其云原生服务和应用程序而不会影响其他团队,安全地提供了在不中断的情况下共享基础结构资源的选项。


参考文档:

https://www.nginx.com/blog/secure-cloud-native-apps-without-losing-speed/

https://www.nginx.com/blog/state-of-modern-app-delivery-2020-results-annual-user-survey/


已修改于2023-03-05 02:26
创作不易,留下一份鼓励
chuwanglin

暂无个人介绍

关注



写下您的评论
发表评论
全部评论(0)

按点赞数排序

按时间排序

关于作者
chuwanglin
这家伙很懒还未留下介绍~
2
文章
0
问答
1
粉丝
相关文章
原文来自:https://www.nginx.com/blog/nginx-app-protect-1-0-released/进行数字化转型的公司有明确的业务需求。其中包括改善现代业务应用程序的客户体验,采用敏捷实践以超越市场竞争对手,以及利用市场优势来推动新的收入来源。支持这些工作的是新的应用程序体系结构,这些体系结构可提高开发效率并结合了容器,微服务和API。对于现代应用程序,敏捷性和上市时间至关重要。安全通常是次要的考虑因素,或者被完全忽略。为什么?传统应用程序的安全控制并不总是能很好地映射到业务需求。例如,通常由SecOps团队配置和操作的那种复杂的Web应用程序防火墙(WAF)通常不太适合由DevOps团队支持特定业务线部署的敏捷应用程序。结果可能是安全性不足或配置错误,上市时间延迟以及不良的用户体验。推出NGINXAppProtectNGINXAppProtect是一种新的应用程序安全解决方案,它将先进的F5WAF技术的功效与NGINXPlus的敏捷性和性能相结合。该解决方案在NGINXPlus上本地运行,并解决了现代DevOps环境面临的一些最困难的挑战:将
点赞 4
浏览 1.6k
NAP简介:1.全名NginxAppProtect2.高性能WAF3.轻量级软件包,部署于NginxPlus上4.为现代应用架构设计,多平台支持5.融入CI/CDPipeline6.注入F5WAF产品的核心技术版本信息:2020.5.22GA2020.6.9V1.12020.6.30V1.22020.7.21V1.32020.9.8V2.02020.10.28V2.1NAP策略动态配置在使用NAP时,我们常需要对不用应用配置相同的防护策略,而核心防护策略的迭代/更新,需要多个策略文件同步操作,往往会带来较大的管理配置开销。这时,我们可以通过NAP配置中的外部引用功能,使策略能根据外部配置文件动态变化。也就是说,我们可以为各类策略提供一组预定义的配置,并且可以通过简单的引用,将他们合并为最终策略的一部分。这样也就确保了,在不断迭代的环境中,策略始终是最新的。防护响应页面的动态举例我们在实验环境中已经部署了一套财务网站,并且在Docker中部署了NAP:使用的默认的安全策略:在模拟XSS攻击后,可以看到默认的防护页面:在Gitlab中定义blocking.
点赞 1
浏览 1.1k
在上一篇云原生应用安全防护中我提到:NGINX提供一套了标准的服务针对不同场景,提供不同选择:NGINXAppProtect可以与NGINXPlus一起部署。唯一的全能性部署,可以与负载均衡、反向代理、API网关一同部署。NGINXAppProtect可以嵌入部署到NGINXIngressController,后者是容器化云原生环境最佳的流量管理方案之一。NGINXController是为多云部署的NGINXPlusinstance提供统一的管理和可视化,目前ControllerAppSecuirty正在Beta测试中。今天聊聊上面的第三条,NGINXControllerAppSecurity的基本功能特点。主角背景介绍NGINX,俄裔,16岁,精通负载均衡,反向代理,API网关等,在融入主流门派后(F5),最近新get新技能NGINXController与NGINXAppProtect;灵活小巧,不仅出招快(高性能应用交付),防守能力也很出众(WAF能力);适应能力强,可单带(独立部署),也可以团战(与云服务集成)。应用的安全的风口为何
点赞 1
浏览 1.2k