[新产品/新功能] Application Gateway for Containers 集成 Web Application Firewall (WAF) 功能正式发布

**发布时间:** 2025-11-10 **厂商:** Azure **类型:** Updates ---  [新产品/新功能] Application Gateway for Containers 集成 Web Application Firewall (WAF) 功能正式发布   # 产品功能分析 ## 新功能/新产品概述 Azure 宣布为其下一代应用网关 **Application Gateway for Containers** 正式提供 **Web Application Firewall (WAF)** 支持。该产品是 **Application Gateway** 与 **Application Gateway Ingress Controller (AGIC)** 的演进版本，专为 Kubernetes 环境设计。 - **核心定义与目标**：此功能旨在为运行在容器环境中的现代应用提供一个集成、托管的安全防护层，保护其免受常见的 Web 攻击，如 SQL 注入、跨站脚本（XSS）和协议异常等。 - **技术原理**：通过在容器应用流量的入口处集成 WAF 策略，所有进入 **Kubernetes** 集群的外部请求都会首先经过 WAF 的深度包检测和规则匹配。只有合法的流量才会被转发到后端的应用服务，从而在应用代码层面之上增加了一道关键的安全屏障。 - **目标用户与市场定位**：主要面向在 Azure Kubernetes Service (AKS) 上部署和管理容器化应用的 DevOps 工程师、平台运维团队和安全专家。它将 Azure 成熟的 WAF 能力以云原生的方式提供给用户，简化了在 Kubernetes 环境中实现应用安全的复杂性。 ## 关键客户价值 - **一站式、云原生的安全防护** - **业务价值**：用户无需再独立部署和管理第三方的 WAF 解决方案，可以直接在应用网关层面启用全面的安全防护。这极大地简化了安全架构，降低了运维复杂度和管理成本，实现了安全能力的“开箱即用”。 - **差异化优势**：与传统的 Ingress Controller 配合开源 WAF（如 ModSecurity）的方案相比，Azure 提供了完全托管的服务，包括规则集的自动更新和维护。其核心优势在于与 Azure 生态的深度集成，为 Kubernetes 应用提供了无缝且一致的安全体验。 - **基于微软全球威胁情报的增强防护** - **业务价值**：除了提供基于 **OWASP** 核心规则集的标准防护外，该 WAF 还集成了来自 **微软威胁情报中心 (MSTIC)** 的独有防护规则。这意味着客户的应用可以抵御由微软在全球范围内监控和发现的最新、最复杂的攻击，获得了超越行业标准的安全保障。 - **实现机制**：通过 Azure 托管的 **默认规则集 (DRS)** 实现。该规则集动态地融合了 OWASP 的通用漏洞防护和 MSTIC 的专有威胁情报，由微软安全团队持续更新，确保防护的时效性和有效性。 - **多维度的攻击面防御** - **业务价值**：提供了超越传统 WAF 的多层次防护能力，能够应对多样化的网络威胁，包括恶意机器人流量和应用层 DDoS 攻击，为业务连续性提供更强的保障。 - **实现机制**： - **Bot manager rulesets**：内置机器人程序管理器规则集，用于识别和阻止已知的恶意机器人或自动化扫描工具。 - **Rate limiting custom rules**：支持自定义速率限制规则，可有效缓解针对应用 API 或登录页面的暴力破解等应用层拒绝服务攻击。 ## 关键技术洞察 - _产品架构的演进_：从文档描述“Application Gateway for Containers 是 Application Gateway + AGIC 的下一代演进”可以看出，这代表了从“桥接模式”向“原生集成模式”的架构转变。传统的 **AGIC** 作为一个运行在集群内的 **Kubernetes Operator**，负责将 Ingress 资源翻译成外部 Application Gateway 的配置。新模式则可能是一个更贴近 Kubernetes、专为容器设计的控制平面和数据平面，实现了更高效、更动态的配置管理和流量转发，更好地适应了容器环境的弹性与高动态性。 - _威胁情报驱动的安全策略_：其技术核心不仅是实现了 WAF 功能，更关键的是将 **MSTIC** 的全球威胁情报产品化。这种能力依赖于微软庞大的全球云服务、操作系统和终端产品生态系统所收集的海量安全数据。通过机器学习和安全专家分析，将这些情报转化为具体的防护规则，实现了从被动防御到主动威胁预警的转变。 - _整合多种安全能力于一体_：该产品在技术上将应用防火墙、机器人流量管理和应用层 DDoS 防护等多种安全能力整合到了统一的流量入口点。这种一体化的设计避免了使用多个独立安全产品所带来的配置复杂性、潜在性能瓶颈和策略冲突问题，为用户提供了一个更简洁、高效和可靠的云原生安全网关。   # 正式发布：容器应用网关 (Application Gateway for Containers) 支持 Web 应用程序防火墙 (WAF) **发布时间:** 2025-11-10 **厂商:** Azure **类型:** Updates --- [Azure Web 应用程序防火墙 (WAF)](https://learn.microsoft.com/azure/application-gateway/for-containers/web-application-firewall) 对 [Azure 容器应用网关 (Application Gateway for Containers)](https://learn.microsoft.com/azure/application-gateway/for-containers/overview) 的支持现已正式发布。容器应用网关是 Application Gateway 与 Application Gateway Ingress Controller 的下一代演进版本。通过增加 Azure WAF 支持，容器应用网关的工作负载现在可以免受 SQL 注入 (SQL injections)、跨站脚本 (cross-site scripting)、协议异常 (protocol anomalies) 等 Web 攻击。当使用 WAF 保护您的容器应用网关资源时，您可以访问 Azure 托管的 [默认规则集 (Default Rulesets, DRS)](https://learn.microsoft.com/en-us/azure/web-application-firewall/ag/application-gateway-crs-rulegroups-rules?tabs=drs21%2Cowasp30#default-rule-set-21) ，它不仅可以防御开放 Web 应用安全项目 (Open Web Application Security Project, OWASP) 识别的威胁，还能提供由微软威胁情报中心 (Microsoft’s Threat Intelligence Center, MSTIC) 提供的额外保护。容器应用网关的 WAF 用户还可以通过 [机器人管理器规则集 (bot manager rulesets)](https://learn.microsoft.com/en-us/azure/web-application-firewall/ag/bot-protection-overview) 获得机器人防护 (bot protection)，并使用 [速率限制自定义规则 (rate limiting custom rules)](https://learn.microsoft.com/en-us/azure/web-application-firewall/ag/rate-limiting-overview) 来抵御 DDoS 攻击。 [了解更多](https://aka.ms/agc/waf) 。