如何给Envoy添加安全功能

随着Envoy^[1]的不断发展并得到更广泛的采用，下一步自然是利用其固有的可扩展性来添加安全功能。

对于今天的任何云原生组织来说，健壮的安全性显然都是至关重要的需求。威胁方资金充足，技能高超，而且冷酷无情。与此同时，组织继续部署更多的应用程序、服务和API，从而继续扩大他们的攻击面。

商业市场提供了许多安全解决方案，可以过滤和阻止传入流量中的恶意请求。然而，这些都是专有的、封闭源代码的产品。对于喜欢开放解决方案的用户来说，这种情况显然不是理想的。

更糟糕的是，大多数专有解决方案都在用户环境的范围之外运行。这意味着必须将流量流路由到供应商的基础设施，对其进行解密、分析，然后重新加密，然后才能将其发送到用户环境。这不仅会带来额外的延迟，还会将用户的数据和指标暴露给第三方，从而严重损害隐私。

Envoy使我们有机会解决所有这些问题。

Envoy是一种理想的web安全机制。它可以在不同的规模过滤流量；它可以用作整个环境的入口网关，也可以用于过滤单个微服务或介于两者之间的任何流量。它采用L3/L4架构，在字节基础上处理流量——这允许在上面添加应用层处理。

最重要的是，它是可扩展的。它被设计成可以很容易地通过附加功能（如web安全）进行扩充。

然而，添加安全性并不是一件简单的事情。今天的威胁环境是广泛和多样的；Envoy安全扩展将需要内部逻辑，以多种方式分析流量，以识别许多不同类型的可能攻击。这种分析需要是有状态的，不仅在会话内，而且跨流量源。（虽然一些攻击——例如SQL注入——可以在单个请求中检测到，但其他类型的攻击则使用一系列单独看似无害的请求进行。）

此外，威胁环境也在不断演变。因此，这个扩展将需要消耗威胁情报信息，并在新威胁出现是能够自动更新其安全态势。

此外，Envoy以拥有最好的可观察性而闻名，因此安全扩展应该与此相一致。用户应该能够看到在他们的环境中发生的一切，并理解所有正在做出的流量过滤决策，以及为什么。

最后，这个扩展需要支持云原生的实践，并在生态系统中很好地工作。理想情况下，它应该是开源的。

Curiefense：Envoy的安全扩展

Curiefense（https://www.curiefense.io/）是根据这些需求设计的OSS Envoy扩展。

Curiefense（以著名科学家Marie Curie^[2]的名字命名）增加了一组广泛的自动化web安全工具：WAF、DDoS保护、bot管理、API安全、速率限制、会话流控制等等。它所包含的功能可以与商业闭源安全解决方案相匹敌，在许多情况下甚至超过它们。

使用Envoy扩展来过滤流量使得外部第三方解决方案没有必要，因为安全可以融入环境本身。这意味着云原生组织将不再需要在延迟、开放性、厂商锁定或隐私等问题上妥协。

Curiefense是CNCF的沙箱项目。该项目旨在提供一个开放、可扩展、自适应和不断发展的GitOps平台——一个在提供强大安全性的同时仍然为用户保留全部隐私的平台