Check Point CloudGuard AppSec Standalone NGINX 镜像文档

镜像概述

本镜像为集成了Check Point CloudGuard AppSec Infinity Next Nano Agent的NGINX服务器，设计用于作为独立容器部署，提供Web应用安全防护能力。通过与Check Point Infinity Portal联动，可实现安全策略集中管理、威胁防护及日志监控，同时支持自行管理NGINX反向代理配置。

核心功能特性

• 集成下一代WAF：内置CloudGuard AppSec（下一代Web应用防火墙）功能，防护OWASP Top 10等常见Web威胁
• 独立容器部署：支持作为单一容器独立运行，简化部署流程
• 灵活配置管理：可通过Infinity Portal集中管理反向代理设置，或选择自行管理NGINX配置
• 数据持久化：支持配置文件、日志及运行数据的持久化存储
• CI/CD集成：适配容器化部署流程，可集成至CI/CD管道的容器管理系统

适用场景

• 需要在容器环境中独立部署NGINX并集成Web应用防护的场景
• 要求集中管理安全策略的企业级Web应用防护
• 需要自行控制NGINX反向代理配置的边缘计算场景
• 容器化部署环境中的Web应用安全网关

部署步骤

前提条件

• 已安装Docker引擎
• 可访问Check Point Infinity Portal（[***]
• 拥有Infinity Portal账号及CloudGuard AppSec配置权限

部署流程

1. 添加镜像至容器管理系统

将checkpoint/cloudguard-appsec-standalone镜像添加至部署环境的容器管理系统（如Docker、Kubernetes等），确保CI流程中可获取该镜像。

2. 从Infinity Portal获取配置信息

1. 登录Infinity Portal
2. 导航至Policy Application > Cloud > Profiles页面
3. 从配置文件对象中获取Agent Token
4. 根据管理需求配置反向代理设置：
   • 自行管理NGINX：勾选"I want to manage NGINX myself"复选框，后续部署命令需添加--nginx-self-managed参数
   • 通过Portal管理：确保所有使用该配置文件的资产已在"Reverse Proxy settings" section中配置上游URL（upstream URL）

3. 启动容器实例

使用以下命令启动容器（参数说明见下文）：

docker run -d \
  --name=agent-container \
  -v=<配置文件持久化路径>:/etc/cp/conf \
  -v=<数据文件持久化路径>:/etc/cp/data \
  -v=<日志文件持久化路径>:/var/log/nano_agent \
  -v=<NGINX配置持久化路径>:/etc/nginx/conf.d/ \
  -e https_proxy=<代理地址(格式:user:password@地址:端口)> \
  -it checkpoint/cloudguard-appsec-standalone \
  /cloudguard-appsec-standalone --token <获取的Agent Token>

4. 验证容器运行状态

执行以下命令确认容器正常运行：

docker ps | grep agent-container

5. 确认Agent注册状态

1. 登录Infinity Portal
2. 导航至Policy Application > Cloud > Agents页面
3. 确认新部署的Agent已显示在Agent列表中

配置参数说明

必选参数

• --token <token>：指定从Infinity Portal获取的Agent Token，用于Agent与Portal的认证

可选参数

• --nginx-self-managed：当需要自行管理NGINX配置时添加此参数，需在Infinity Portal中勾选"I want to manage NGINX myself"

数据卷挂载（-v）

环境变量（-e）

• https_proxy：指定代理服务器地址，格式为user:password@Proxy address:port（仅在需要代理访问互联网时使用）

参考文档

详细部署指南请参见Check Point 在线文档