[新产品/新功能] Web Application Firewall (WAF) 在 Application Gateway for Containers 上的公共预览

[新产品/新功能] Web Application Firewall (WAF) 在 Application Gateway for Containers 上的公共预览   # 产品功能分析 ## 新功能/新产品概述 Azure 推出的 **Web Application Firewall (WAF)** 运行于 **Application Gateway for Containers**，作为公有预览功能，核心定义是为 Kubernetes 集群中的工作负载提供第 7 层负载均衡和动态流量管理的安全防护。技术原理基于 HTTP 流量检查和过滤机制，通过规则引擎识别并阻挡恶意请求，例如 **SQL 注入**、跨站脚本攻击和协议异常。产品背景源于 **Application Gateway** 与 **Application Gateway Ingress Controller** 的演进，旨在解决容器化应用的安全需求。目标用户群包括在 Azure 上运行 Kubernetes 工作负载的企业开发者和运维团队，市场定位聚焦于云原生环境下的 web 安全防护，提供更紧密的 Azure 生态集成。 ## 关键客户价值 - **增强安全防护**：为 Kubernetes 工作负载提供针对 web 攻击的实时保护，业务价值在于减少数据泄露风险和合规成本，例如通过阻挡 **SQL 注入** 和跨站脚本攻击，显著降低应用中断可能性，与竞品（如 AWS WAF）的差异化优势在于其与 Azure 服务的无缝集成，实现更高效的部署和管理机制。 - 在高流量场景中，此优势体现为快速响应突发攻击，避免服务可用性下降。 - **访问高级规则集**：用户可利用 Azure 管理的 **Default Rulesets (DRS)**，结合 **OWASP** 标准和 Microsoft 的威胁情报，提供额外保护（如机器人防护和 DDoS 缓解），业务价值包括提升应用韧性，差异化于竞品的实现机制是通过 Azure 专有的威胁情报中心（MSTIC）动态更新规则，实现更精确的威胁检测。 - 在多租户或公共互联网暴露场景中，此价值帮助客户优化资源利用，减少手动干预。 - **自定义防护能力**：支持 **机器人管理规则集** 和 **速率限制自定义规则**，业务价值在于针对性防护 DDoS 攻击，相比竞品（如 Google Cloud Armor），优势在于更简化的 Kubernetes 原生集成，机制基于自动化流量监控和阈值调整，减少性能瓶颈。 - 在电商或 API 服务场景中，此功能确保高并发下的稳定运行，保护用户体验。 ## 关键技术洞察 - **技术独特性**：基于 **Default Rulesets (DRS)** 和 **OWASP** 算法，实现事件驱动的流量分析和技术原理涉及规则匹配引擎，对进出流量进行实时扫描和决策。创新点在于将 WAF 与 Kubernetes 的动态管理相结合，支持毫秒级响应。 - **对性能、安全性和可用性的影响**：创新点提升了安全性，通过 Microsoft 威胁情报中心的实时数据 feeds 增强威胁检测准确性；对性能影响包括减少假阳性干扰，提高资源利用率；可用性方面，支持自动适应高并发环境，但潜在挑战在于规则配置的复杂性，可能需通过 Azure 监控工具优化以避免延迟增加。 - **技术实现的挑战和解决方式**：挑战包括在容器化环境中处理高动态流量，解决方式是通过 **Application Gateway for Containers** 的内置集成，实现无缝扩展和规则自定义，避免传统 WAF 的部署开销。   # 公开预览：Web 应用程序防火墙 (WAF) 在 Application Gateway for Containers 上运行 **发布时间:** 2025-07-22 **厂商:** Azure **类型:** 更新 --- [Application Gateway for Containers](https://review.learn.microsoft.com/en-us/azure/application-gateway/for-containers/overview?branch=pr-en-us-301895)，Azure 的应用层 (layer 7) 负载均衡和动态流量管理解决方案，用于在 Kubernetes (Kubernetes) 集群中运行的工作负载，现在支持 [Web 应用程序防火墙 (WAF)](https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Faka.ms%2Fagc%2Fwaf&data=05%7C02%7Cv-kweatherma%40microsoft.com%7C3a948b3642d7473bf2d508ddc3f1c466%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638882165337091761%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW4zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=yGcw2o3OwtGIXkvOTbk%2FRC5MCcZCvDsIR4ZJGlqN2%2F4%3D&reserved=0) 的公开预览。Application Gateway for Containers 是 Application Gateway + Application Gateway Ingress Controller 的下一代演进。随着 Azure WAF 支持的添加，Application Gateway for Containers 的工作负载现在可以保护免受基于 Web 的攻击，如 SQL 注入、跨站脚本攻击、协议异常等。在使用 WAF 保护 Application Gateway for Containers 资源时，您可以访问 Azure 管理的 [默认规则集 (Default Rulesets)](https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Flearn.microsoft.com%2Fen-us%2Fazure%2Fweb-application-firewall%2Fag%2Fapplication-gateway-crs-rulegroups-rules%3Ftabs%3Ddrs21%252Cowasp30%23default-rule-set-21&data=05%7C02%7Cv-kweatherma%40microsoft.com%7C3a948b3642d7473bf2d508ddc3f1c466%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638882165337106711%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW5zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=j3xt7XAhoOwamPcub0%2BgKLOZF0e5ksKLsX74fX6fadk%3D&reserved=0)，不仅提供由开放 Web 应用程序安全项目 (OWASP) 识别的威胁保护，还包括 Microsoft 威胁情报中心 (MSTIC) 提供的额外保护。Application Gateway for Containers 的 WAF 用户还可以通过 [机器人管理器规则集 (bot manager rulesets)](https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Flearn.microsoft.com%2Fen-us%2Fazure%2Fweb-application-firewall%2Fag%2Fbot-protection-overview&data=05%7C02%7Cv-kweatherma%40microsoft.com%7C3a948b3642d7473bf2d508ddc3f1c466%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638882165337119504%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW5zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=7RLA%2Fi24JJplFx6rvWTOw9wG8o4juPzutGI0LSX%2FISg%3D&reserved=0) 获得机器人保护，以及通过 [速率限制自定义规则 (rate limiting custom rules)](https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Flearn.microsoft.com%2Fen-us%2Fazure%2Fweb-application-firewall%2Fag%2Frate-limiting-overview&data=05%7C02%7Cv-kweatherma%40microsoft.com%7C3a948b3642d7473bf2d508ddc3f1c466%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638882165337131210%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW5zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=C39y7yY92qyn%2FKi%2BN2DT1X5VKHd8n0ylWRbr3387IUs%3D&reserved=0) 抵御分布式拒绝服务攻击 (DDoS)。 [了解更多](https://aka.ms/agc/waf)。