超稳！上云之殇被雷池（SafeLine）治愈

 

上云很美好，云上安全很苦恼……千言万语三大难：云上场景复杂高，统一管理很艰难；业务流量波动大，WAF资源匹配难；云上租户多而广，业务流畅保证难

客户一犯难，WAF界“扛把子”雷池（SafeLine）下一代Web应用防火墙坐不住了。

云上“盾牌”级防护能力再度发力，解决WAF在云上的六大场景难题。

 

场景1 在K8s中部署WAF，站点上线时需要重复配置

问题：

在K8s环境中，如果使用WAF，会出现需要分别在WAF和K8s中配置站点的情况，导致在大量Web业务上线的时候，用户需多次配置同一站点，工作量翻倍。

解法：

雷池（SafeLine）特有的全开放的接口模式，可以完美融入K8s当中，利用K8s中的用户资源自定义能力，通过gitops工具，将需要被防护的站点一次性下发给K8s的ingress和部署在K8s环境中的WAF，降低人力运维与业务管理成本。

一次调整，同时完成K8s中的ingress和WAF的配置，整体配置更精准

 

场景2 同时使用多个云时，WAF管理效能差

问题：

当企业同时使用多个云时，业务不可避免会更加分散，安全人员无法使用一套WAF集群做统一管理和防护。而复杂的管理逻辑，会大大降低流程配置效率，增加人力成本，同时容易出错，让风险管理不可控。

解法：

不同云上的业务场景千差万别，流量走向需求也不尽相同，面对使用多云环境的企业，雷池（SafeLine）可提供深度适配多云业务场景的不同部署模式，实现对流量的精准引流。企业可通过雷池（SafeLine）集群的统一管理机制，同时对多个云中的流量检测节点做集中管理，在一套管理逻辑里维护整体资源，以上帝视角管控整体风险。

 

场景3 云上东西向流量交互大，传统WAF存在防护短板

问题：

传统WAF仅能防护南向北流量，缺少对于业务间的横向流量进行检测和防护，在云上，这部分流量带来的威胁却不可小觑，严重时将导致企业内部系统瘫痪。

解法：

长亭通过使用独有的嵌入式部署技术，在Service Mesh（服务网格）中嵌入T1K模块，企业用户通过sidecar进行流量交互时，利用T1K模块引流、流量劫持、返回阻断指令等能力，实现对东西向流量进行安全防护。防护类别包括：API防护、用户行为检测、权限异常监视、恶意流量防护等，保障业务内部系统间的流量交互安全。

 

场景4 业务上下线频繁，WAF资源难控制

问题：

流量的波动不定，往往让企业无法准确调配WAF资源，多了则浪费，少了则影响业务发展，长时间需要手动管理，人力成本高。

解法：

雷池（SafeLine）采用全分布式微服务架构，将自身检测能力进行模块化部署，再结合K8s中快速拉起、关闭容器的机制，轻松实现自动弹性伸缩功能。流量峰谷状态下，自动伸缩所需WAF资源，无论多少流量都能应对自如，告别流量溢出或资源浪费的同时，高效节省运维成本。

20G流量3个检测节点，40G流量可自动扩容到5个检测节点，反之同理

 

场景5 云上不同租户，要求数据隔离和权限区分

问题：

企业（一般指云厂商）需要对外提供云资源租用服务时，常常面临大量业务租户要求拥有自己的安全网元能力的相关权限，以及和别的租户之间的网站业务数据隔离的问题。

解法：

雷池（SafeLine）支持基于多租户的权限分配，不同租户之间业务站点及相关流量数据可实现权限隔离。管理员可以根据租户需求分配实际需要的权限和资源，让租户的云上业务安全又可控。

 

场景6 多维度海量流量，业务连续性要求更高

问题：

在云原生WAF部署的场景中，常常面临多维度的流量检测，流量正常访问路径需要顺利通过WAF的检测才能运行，但当WAF出现宕机，不工作时，海量业务流量面临被迫终止无法完成请求的问题，企业发展将面临巨大损失。

解法：

针对南北向流量：故障初期，雷池（SafeLine）增加秒级延迟，尝试请求后让流量进入Bypass状态，保障业务运行无感知，直至健康检查发现检测引擎状态恢复。

针对东西向流量：故障发生时，通过Bypass，让流量先跳过雷池（SafeLine）一段时间，再抽选某个请求进行尝试，如果失败继续Bypass，循环往复，保证业务正常运行。

K8s使用程度不同，需要的实际部署模式也不同，只有选取合适的部署方案才能让WAF在云上发挥最大效用。以下列举雷池（SafeLine）4种部署方式及适用对象：

传统反向代理模式：使用云上的SLB或ingress进行负载转发，雷池（SafeLine）可进行业务反向代理。

适用于对安全架构稳定性有很强的关注性，不轻易接受K8s改造的用户

嵌入式反代：雷池（SafeLine）通过T1k模块进行引流，将检测节点（detector）和日志节点（mario）部署在K8s上，通过Nginx+T1K模块牵引ingress上的流量。

适用于不能接受多次代理，对简洁的转发架构有要求的用户

弹性流量反向代理：雷池（SafeLine）通过在ingress侧为站点创建两个ingress转发目标，分别给WAF和业务服务器，对业务流量进行双重检测。

适用于对业务返回流量有检测需求的企业用户

基于服务网格的东西向流量防护：雷池（SafeLine）支持基于Envoy的Service Mesh（服务网格），通过T1K进行引流，使用Lua/WASM Filter做请求和响应检测。

适用于对企业内部东西向流量交互系统有检测需求的企业

n

这是“万物皆可云”的时代，更是促进企业业务飞速发展的“温床”。云上环境“土壤”的肥沃促生了云上业务“物种”的复杂多样。而对于企业业务而言，云上的复杂多样，必然让安全运维者迎来新的管理挑战。

为了帮助企业业务更安全、有效地发展，雷池（SafeLine）将自身能力与K8s场景完美融合，凭借天然的、“盾牌”级的微服务能力优势与积累多年的实战经验，继续为企业提供云上安全防护！

更多部署方案及细节，欢迎点击https://jinshuju.net/f/uHu1aW 咨询测试