如何給Envoy添加安全功能

隨著Envoy^[1]的不斷發(fā)展并得到更廣泛的采用，下一步自然是利用其固有的可擴(kuò)展性來添加安全功能。

對于今天的任何云原生組織來說，健壯的安全性顯然都是至關(guān)重要的需求。威脅方資金充足，技能高超，而且冷酷無情。與此同時，組織繼續(xù)部署更多的應(yīng)用程序、服務(wù)和API，從而繼續(xù)擴(kuò)大他們的攻擊面。

商業(yè)市場提供了許多安全解決方案，可以過濾和阻止傳入流量中的惡意請求。然而，這些都是專有的、封閉源代碼的產(chǎn)品。對于喜歡開放解決方案的用戶來說，這種情況顯然不是理想的。

更糟糕的是，大多數(shù)專有解決方案都在用戶環(huán)境的范圍之外運(yùn)行。這意味著必須將流量流路由到供應(yīng)商的基礎(chǔ)設(shè)施，對其進(jìn)行解密、分析，然后重新加密，然后才能將其發(fā)送到用戶環(huán)境。這不僅會帶來額外的延遲，還會將用戶的數(shù)據(jù)和指標(biāo)暴露給第三方，從而嚴(yán)重?fù)p害隱私。

Envoy使我們有機(jī)會解決所有這些問題。

Envoy是一種理想的web安全機(jī)制。它可以在不同的規(guī)模過濾流量；它可以用作整個環(huán)境的入口網(wǎng)關(guān)，也可以用于過濾單個微服務(wù)或介于兩者之間的任何流量。它采用L3/L4架構(gòu)，在字節(jié)基礎(chǔ)上處理流量——這允許在上面添加應(yīng)用層處理。

最重要的是，它是可擴(kuò)展的。它被設(shè)計成可以很容易地通過附加功能（如web安全）進(jìn)行擴(kuò)充。

然而，添加安全性并不是一件簡單的事情。今天的威脅環(huán)境是廣泛和多樣的；Envoy安全擴(kuò)展將需要內(nèi)部邏輯，以多種方式分析流量，以識別許多不同類型的可能攻擊。這種分析需要是有狀態(tài)的，不僅在會話內(nèi)，而且跨流量源。（雖然一些攻擊——例如SQL注入——可以在單個請求中檢測到，但其他類型的攻擊則使用一系列單獨(dú)看似無害的請求進(jìn)行。）

此外，威脅環(huán)境也在不斷演變。因此，這個擴(kuò)展將需要消耗威脅情報信息，并在新威脅出現(xiàn)是能夠自動更新其安全態(tài)勢。

此外，Envoy以擁有最好的可觀察性而聞名，因此安全擴(kuò)展應(yīng)該與此相一致。用戶應(yīng)該能夠看到在他們的環(huán)境中發(fā)生的一切，并理解所有正在做出的流量過濾決策，以及為什么。

最后，這個擴(kuò)展需要支持云原生的實踐，并在生態(tài)系統(tǒng)中很好地工作。理想情況下，它應(yīng)該是開源的。

Curiefense：Envoy的安全擴(kuò)展

Curiefense（https://www.curiefense.io/）是根據(jù)這些需求設(shè)計的OSS Envoy擴(kuò)展。

Curiefense（以著名科學(xué)家Marie Curie^[2]的名字命名）增加了一組廣泛的自動化web安全工具：WAF、DDoS保護(hù)、bot管理、API安全、速率限制、會話流控制等等。它所包含的功能可以與商業(yè)閉源安全解決方案相匹敵，在許多情況下甚至超過它們。

使用Envoy擴(kuò)展來過濾流量使得外部第三方解決方案沒有必要，因為安全可以融入環(huán)境本身。這意味著云原生組織將不再需要在延遲、開放性、廠商鎖定或隱私等問題上妥協(xié)。

Curiefense是CNCF的沙箱項目。該項目旨在提供一個開放、可擴(kuò)展、自適應(yīng)和不斷發(fā)展的GitOps平臺——一個在提供強(qiáng)大安全性的同時仍然為用戶保留全部隱私的平臺