APISIX 与 Coraza 的集成为企业提供了可靠的安全防护,确保 API 服务的完整性和可靠性。
随着云原生技术的飞速发展,保障 API 的安全性变得至关重要。Apache APISIX 推出了一系列的前沿特性,其中值得称赞的是 APISIX 集成了 coraza-proxy-wasm 插件。我们将深入探讨 APISIX 全新的 WAF 功能,探索 Coraza 如何强化应用程序,使其抵御各类 Web 攻击。
Apache APISIX
Apache APISIX 是一个动态、实时、高性能的开源 API 网关,提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX 基于 NGINX 和 LuaJIT 构建,具有超高性能,单核 QPS 高达 23000,平均延迟仅为 0.2 毫秒。它不仅解决传统架构中的一些问题,同时适应了云原生时代的需求。Apache APISIX 目前是 GitHub 上最活跃的 API 网关项目之一,每天处理超过 1 万亿次的 API 调用,并且该数字仍在增长。
作为 API 网关,Apache APISIX 的应用场景非常广泛,可应用于网关、Kubernetes Ingress 和服务网格等场景,可以帮助企业快速、安全地处理 API 和微服务流量。目前已获得 Amber Group、Airwallex、Lotus Cars、vivo、European Factory Platform 等全球企业和组织的测试和高度认可。
Coraza
WAF(Web Application Firewall),或 Web 应用程序防火墙,是一种网络安全工具,用于保护 Web 应用程序免受各种网络攻击。它通过过滤和监视 Web 应用程序与互联网之间的 HTTP 通信来帮助确保 Web 应用程序的安全性。
Coraza 是非常著名的开源 WAF 实现,将 Coraza 与 APISIX 集成能大大提高 APISIX 对上游服务的保护能力。
它在以下方面提供具体优势:
攻击检测和阻止:Coraza 通过实时分析和监控 HTTP 和 HTTPS 流量,可以检测和阻止常见的 Web 攻击,如 SQL 注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等。
日志记录和报告功能: Coraza 提供高级的日志记录和报告功能,允许管理员跟踪和分析系统的安全事件。这有助于及时发现潜在的威胁并采取适当的措施来应对安全问题。
灵活性和可扩展性:Coraza 提供了灵活的配置选项,使管理员可以根据特定的应用程序需求进行定制。它支持自定义规则和策略,可以根据具体的安全需求进行配置。它还可以与其他安全工具和系统进行集成,提供更全面的安全解决方案。
Coraza-WAF: APISIX 为什么优先选择它
开源社区支持
APISIX 在选择新的 WAF 方案时非常重视其对开源社区的支持。Coraza 和 APISIX 一样,拥有一个活跃的开发者社区,开源社区的支持让 Coraza 能够及时获取更新和寻求支持。社区成员积极地参与到 Coraza 的开发和维护中,不断改进和优化代码,修复 bug 和安全问题。APISIX 通过使用 Coraza,让用户也可以从这些更新中受益,保证了应用程序的安全性和稳定性。
Coraza 开源社区与 APISIX 的发展和演进相协调。作为 APISIX 的 WAF 解决方案,Coraza 可以与 APISIX 的功能和特性紧密集成,以满足用户对安全性的需求。开源社区的合作和反馈有助于推动解决方案的进一步发展,并确保其与APISIX的兼容性和一致性。
Wasm 插件的支持
APISIX 支持 Wasm(WebAssembly)开发插件,Coraza 也提供了 Wasm 插件可供选择,因而 APISIX 集成 Coraza 的成本相对较低。Wasm 的跨平台特性使得 APISIX 和 Coraza 可以无缝协同工作,免除了大规模修改代码并进行适配的工作。
这种低成本集成的好处包括:
- 被验证过的方案:尽管 Coraza wasm 插件并非专为 APISIX 开发,但其已在 Istio 平台上经过验证。该插件在功能上能够提供与 Istio 相一致的保障。
- 低开发和维护成本:Coraza wasm 插件实质上是一个与平台无关的二进制文件,其发布和开发过程异常便捷。扩展 Coraza wasm 插件可借助 proxy-wasm-go-sdk 实现,其发布仅需更新二进制文件即可,进一步简化了流程。
Wasm 实际上是一项非常新颖的技术,目前其生态系统仍在迅速发展之中。对于 APISIX 来说,对于 Wasm 的支持需要经过更长时间的验证,并吸引更多用户参与,以确保其充分验证其可行性和稳定性。
Core Rule Set 规则集的支持
传统的 WAF 解决方案通常需要在 Web 服务器(如 NGINX)上安装和配置特定的模块,以便与 WAF 引擎进行集成和通信。这种集成对于维护人员来说可能比较繁琐,需要处理繁重的配置和版本兼容性问题。
然而,Coraza 使用 Core Rule Set(CRS)作为其规则集,CRS 是一个广泛使用和经过验证的开源规则集,用于检测和防御 Web 应用程序中的常见攻击。与传统的 WAF 解决方案不同的是,Coraza 直接解析和执行 CRS 规则,无需额外编译 NGINX。CRS 规则集的使用能为 APISIX 提供增强的安全性保护和 CRS 社区的支持。
这种设计决策带来了几个重要的好处:
- 维护更加简化。由于不需要 nginx_module 的支持,维护人员无需处理复杂的模块安装和配置过程。相反,他们只需要专注于维护和更新 CRS 规则集,确保其中包含最新的安全规则和修复。
- 解决方案稳定可靠。CRS 作为一个成熟的规则集,经过了长期的实践和改进,已经被广泛采纳并得到了社区的支持。这意味着 Coraza 用户可以从 CRS 社区的集体智慧中受益,并获得及时的安全更新和修复。
易于安装部署
Coraza 不需要 nginx_module 级别的支持,容易维护,这是因为 Coraza 是一个独立的 WAF,它不依赖于 NGINX 或其他 Web 服务器的模块级别支持,可以与不同的 Web 服务器集成。
这种独立性使得 Coraza 的维护更加容易,因为它不需要依赖于特定的 Web 服务器配置或模块安装。管理员可以单独配置和管理 Coraza,而不必担心与其他服务器组件的兼容性问题。
如何在 APISIX 中使用 Coraza
请注意,要使用 Coraza 功能,您需要从源代码安装 APISIX master 版本。目前,该功能还处于预览版阶段,预期 3.6.0 版本将正式支持该功能。
配置 APISIX 集成 coraza-proxy-wasm
进入 APISIX
的目录
cd /home/ubuntu/apisix-master
修改配置文件conf/config-default.yaml,取消原来 wasm 配置中的注释符
wasm:
plugins:
- name: coraza-filter
priority: 7999
file: /home/ubuntu/coraza-proxy-wasm/build/main.wasm # 要写绝对路径
配置 /anything 路由集成 Coraza WAF 规则
重新配置路由, 启用 coraza-filter
插件
curl -i http://127.0.0.1:9180/apisix/admin/routes/1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '{
"uri": "/anything",
"plugins": {
"coraza-filter": {
"conf": {
"directives_map": {
"default": [
"SecDebugLogLevel 9",
"SecRuleEngine On",
"SecRule REQUEST_URI \"@beginsWith /anything\" \"id:101,phase:1,t:lowercase,deny\""
]
},
"default_directives": "default"
}
}
},
"upstream": {
"type": "roundrobin",
"nodes": {
"httpbin.org:80": 1
}
}
}'
测试 WAF 规则,的确看到了 403
curl http://localhost:9080/anything -v
* Trying 127.0.0.1:9080...
* TCP_NODELAY set
* Connected to localhost (127.0.0.1) port 9080 (#0)
> GET /anything HTTP/1.1
> Host: localhost:9080
> User-Agent: curl/7.68.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 403 Forbidden
< Date: Thu, 31 Aug 2023 09:09:18 GMT
< Content-Type: text/html; charset=utf-8
< Content-Length: 225
< Connection: keep-alive
< Server: APISIX/3.4.0
<
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>openresty</center>
<p><em>Powered by <a href="https://apisix.apache.org/">APISIX</a>.</em></p></body>
</html>
* Connection #0 to host localhost left intact
查看日志 logs/error.log
2023/08/31 09:20:39 [info] 126240#126240: *23933 Transaction interrupted tx_id="JVhHVfDuGjVbfgvDjik" context_id=2 action="deny" phase="http_request_headers", client: 127.0.0.1, server: _, request: "GET /anything HTTP/1.1", host: "localhost:9080"
2023/08/31 09:20:39 [debug] 126240#126240: *23933 Interruption already handled, sending downstream the local response tx_id="JVhHVfDuGjVbfgvDjik" context_id=2 interruption_handled_phase="http_request_headers"
写在最后
Coraza 是一个功能强大的 Web 应用程序防火墙框架,提供了广泛的安全功能和灵活的配置选项,适用于保护企业级Web应用程序免受各种威胁。APISIX 与 Coraza 的集成是 APISIX 的一个重要新特性,Coraza 作为易于维护的解决方案,与 APISIX 的集成为企业提供了强大的 API 管理和安全功能。