在上一篇云原生应用安全防护中我提到：

NGINX提供一套了标准的服务针对不同场景，提供不同选择：

• NGINX App Protect 可以与NGINX Plus一起部署。唯一的全能性部署，可以与负载均衡、反向代理、API网关一同部署。
• 
  
• NGINX App Protect 可以嵌入部署到NGINX Ingress Controller，后者是容器化云原生环境最佳的流量管理方案之一。
• 
  
• NGINX Controller是为多云部署的NGINX Plus instance提供统一的管理和可视化，目前Controller App Secuirty正在Beta测试中。

今天聊聊上面的第三条，NGINX Controller App Security的基本功能特点。

主角背景介绍

NGINX，俄裔，16岁，精通负载均衡，反向代理，API网关等，在融入主流门派后（F5），最近新get新技能NGINX Controller 与 NGINX App Protect； 灵活小巧，不仅出招快（高性能应用交付），防守能力也很出众（WAF能力）； 适应能力强，可单带（独立部署），也可以团战（与云服务集成）。

应用的安全的风口为何强劲

上一篇也分析了云原生应用下的安全挑战，更具体的看，应用人员烦恼很多，这一切对应用安全提出了新的要求。

• 传统的安全方法不适用于现代应用程序。
• 增加传统的安全性会降低应用程序性能。
• 将安全性集成到他们的工作流和工具链中并不容易。
• 等待安全团队实施安全措施会影响生产率，并缩短产品上市时间。

轻巧的NGINX Controller App Security插件能做啥？

大家都知道客户基础架构或PaaS平台团队（网络运营，安全运营，PaaS安全组）可以将NGINX App Protect作为模块安装在各种环境和云中的NGINX Plus实例（数据平面）上，以提供WAF服务。NGINX App Protect在基于HTTP的应用程序之前提供了强大的WAF保护实施引擎。然后，NGINX Controller管理这些实例。

现在，有了Controller App Security， 它可以为应用开发团队提供以自助服务方式为其特定应用程序或API启用WAF保护，而不必等待基础架构团队执行设置，当然这些变更不会影响其他团队的应用程序。

下面挑几个有趣的功能以管中窥豹：

应用保护开启一览 - GUI

Controller Web界面可以用来验证是否已为每个应用程序的每个组件启用了应用程序保护，以及该应用程序是在阻止模式还是仅在监视模式下运行。

请求的WAF违规事件日志，其中包含观察到的违规的详细信息

WAF查看应用URI重点目标和重点攻击类型

WAF处理的请求的结果统计信息（被阻止或标记为违反WAF的请求数），与之前的时间段进行比较，以确定需要进一步调查的峰值

参考链接： 

https://www.nginx.com/blog/introducing-nginx-controller-app-security-for-delivery

https://www.nginx.com/blog/threat-visibility-analytics-nginx-controller-app-security

更多关于Controller App Seurity的介绍，我们下篇见。