networking-incubator/coraza-kubernetes-operator
GitHub: networking-incubator/coraza-kubernetes-operator
为 Kubernetes Gateway 提供 Web 应用防火墙能力的 Operator,基于 Coraza 引擎实现声明式的安全规则管理与实时更新。
Stars: 3 | Forks: 6
# Coraza Kubernetes Operator
[Kubernetes] [Gateways] 的 [Web Application Firewall (WAF)] 支持。
## 简介
Coraza Kubernetes Operator (CKO) 支持在 Kubernetes 集群上对 [Web Application Firewalls (WAF)] 进行声明式管理。用户可以部署附加到网关的防火墙引擎,以及这些引擎执行的规则。
[Coraza] 被用作防火墙引擎。
### 主要特性
- `Engine` API - 声明式管理 WAF 实例
- `RuleSet` API - 声明式管理防火墙规则
- [ModSecurity Seclang] 兼容性
### 支持的集成
该 Operator 与其他工具集成,将 WAF 实例附加到它们的网关/代理:
- `istio` - Istio 集成 ✅ **当前支持(仅 Ingress Gateway)**
- `wasm` - WebAssembly 部署 ✅ **当前支持**
### 架构
CKO 的 ruleset 控制器通过验证和编译规则(例如包含 [Seclang] 规则的 `ConfigMap` 资源列表)来响应 `RuleSet` 资源,编译后的规则会被发送到 `RuleSet` 缓存中。
缓存的键是 `RuleSet` 的 `namespace/name`,允许从托管缓存的服务器轮询编译后的规则集。
引擎控制器通过根据提供的类型和模式部署 Coraza 引擎,并将其附加到 `Gateway`,以此来响应 `Engine` 资源。
`Engine` 资源指向一个 `RuleSet`,以指示将应用于所有 `Gateway` 流量的防火墙规则。可以设置 `RuleSets` 的轮询间隔,以便在运行的 `Engines` 上启用自动且实时的规则更新。
## 文档
文档可在 [wiki] 中查阅。
## 贡献
欢迎贡献!
请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。
## 许可证
Apache License 2.0 - 请参阅 [LICENSE](LICENSE)。
## 文档
文档可在 [wiki] 中查阅。
## 贡献
欢迎贡献!
请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。
## 许可证
Apache License 2.0 - 请参阅 [LICENSE](LICENSE)。标签:AI工具, AppImage, CISA项目, Coraza, Envoy, EVTX分析, Ingress防护, Istio, K8s扩展, ModSecurity, Operator, PB级数据处理, Seclang, WAF, WASM, WebAssembly, Web应用防火墙, Web截图, 云计算, 声明式配置, 子域名突变, 安全运维, 容器安全, 日志审计, 流量过滤, 网关安全, 网络安全, 规则引擎, 隐私保护