隨著Envoy^[1]的不斷發展并得到更廣泛的采用，下一步自然是利用其固有的可擴展性來添加安全功能。

對于今天的任何云原生組織來說，健壯的安全性顯然都是至關重要的需求。威脅方資金充足，技能高超，而且冷酷無情。與此同時，組織繼續部署更多的應用程序、服務和API，從而繼續擴大他們的攻擊面。

商業市場提供了許多安全解決方案，可以過濾和阻止傳入流量中的惡意請求。然而，這些都是專有的、封閉源代碼的產品。對于喜歡開放解決方案的用戶來說，這種情況顯然不是理想的。

更糟糕的是，大多數專有解決方案都在用戶環境的范圍之外運行。這意味著必須將流量流路由到供應商的基礎設施，對其進行解密、分析，然后重新加密，然后才能將其發送到用戶環境。這不僅會帶來額外的延遲，還會將用戶的數據和指標暴露給第三方，從而嚴重損害隱私。

Envoy使我們有機會解決所有這些問題。

Envoy是一種理想的web安全機制。它可以在不同的規模過濾流量；它可以用作整個環境的入口網關，也可以用于過濾單個微服務或介于兩者之間的任何流量。它采用L3/L4架構，在字節基礎上處理流量——這允許在上面添加應用層處理。

最重要的是，它是可擴展的。它被設計成可以很容易地通過附加功能（如web安全）進行擴充。

然而，添加安全性并不是一件簡單的事情。今天的威脅環境是廣泛和多樣的；Envoy安全擴展將需要內部邏輯，以多種方式分析流量，以識別許多不同類型的可能攻擊。這種分析需要是有狀態的，不僅在會話內，而且跨流量源。（雖然一些攻擊——例如SQL注入——可以在單個請求中檢測到，但其他類型的攻擊則使用一系列單獨看似無害的請求進行。）

此外，威脅環境也在不斷演變。因此，這個擴展將需要消耗威脅情報信息，并在新威脅出現是能夠自動更新其安全態勢。

此外，Envoy以擁有最好的可觀察性而聞名，因此安全擴展應該與此相一致。用戶應該能夠看到在他們的環境中發生的一切，并理解所有正在做出的流量過濾決策，以及為什么。

最后，這個擴展需要支持云原生的實踐，并在生態系統中很好地工作。理想情況下，它應該是開源的。

Curiefense：Envoy的安全擴展

Curiefense（https://www.curiefense.io/）是根據這些需求設計的OSS Envoy擴展。

Curiefense（以著名科學家Marie Curie^[2]的名字命名）增加了一組廣泛的自動化web安全工具：WAF、DDoS保護、bot管理、API安全、速率限制、會話流控制等等。它所包含的功能可以與商業閉源安全解決方案相匹敵，在許多情況下甚至超過它們。

使用Envoy擴展來過濾流量使得外部第三方解決方案沒有必要，因為安全可以融入環境本身。這意味著云原生組織將不再需要在延遲、開放性、廠商鎖定或隱私等問題上妥協。

Curiefense是CNCF的沙箱項目。該項目旨在提供一個開放、可擴展、自適應和不斷發展的GitOps平臺——一個在提供強大安全性的同時仍然為用戶保留全部隱私的平臺