BLOG | NGINX

Automatisieren Sie die Sicherheit mit F5 NGINX App Protect und F5 NGINX Plus, um die Kosten von Sicherheitsverletzungen zu senken

NGINX-Teil-von-F5-horiz-schwarz-Typ-RGB
Thelen Blum Miniaturbild
Thelen Blum
Veröffentlicht am 07. Juli 2022
Matthieu Dierick Miniatur
Matthieu Dierick
Veröffentlicht am 07. Juli 2022

Es mag Sie überraschen, dass Sie mit dem Geld, das Sie in die Verbesserung Ihrer Sicherheitslage durch Automatisierung und künstliche Intelligenz (KI) investieren, letztendlich viel mehr Geld sparen. In seinem Bericht „Cost of a Data Breach 2021“ gibt das IBM Security-Team bekannt, dass eine Sicherheitsverletzung Unternehmen ohne Sicherheitsautomatisierung und KI im Durchschnitt satte 80 % mehr kostet als Unternehmen mit vollständig implementierter Automatisierung und KI – 6,71 Millionen US-Dollar gegenüber 2,90 Millionen US-Dollar , also eine Differenz von 3,81 Millionen US-Dollar . Indem sie der Sicherheitsautomatisierung und KI Priorität einräumen, können Unternehmen Sicherheitsverletzungen schneller erkennen und eindämmen und so sowohl Geld als auch Zeit sparen.

Balkendiagramm mit den durchschnittlichen Kosten einer Datenpanne nach Implementierungsstufe der Sicherheitsautomatisierung
Datenpannen kosten Unternehmen ohne Sicherheitsautomatisierung und KI Millionen mehr
(Quelle: Bericht zu den Kosten einer Datenschutzverletzung 2021 )

Wenn Sie Sicherheit in Ihre CI/CD-Pipeline integrieren, ist es jedoch wichtig, Ihre Tools nicht zu überlasten. Je seltener Sie den Datenverkehr prüfen, desto geringer ist die verursachte Latenz. Die geschäftliche Schlussfolgerung lautet, dass technische Komplexität der Feind der Agilität ist.

Bei F5 NGINX bieten wir eine Sicherheitsplattform, die durch ihre nahtlose Integration und Fähigkeit einzigartig ist, Teams dabei zu helfen , die Sicherheit während des Softwareentwicklungszyklus zu „verschieben “. Wenn Unternehmen „Sicherheit als Code“ in ihre CI/CD-Pipeline integrieren, ermöglichen sie Sicherheitsautomatisierung und KI, was zu den von IBM beschriebenen enormen Einsparungen führt. Da Sicherheit in jede Phase der Anwendungs- und API-Entwicklung integriert ist, werden Konfigurations- und Sicherheitsrichtliniendateien als Code verwendet und Ihr SecOps-Team kann eine deklarative Sicherheitsrichtlinie für DevOps erstellen und verwalten, die beim Erstellen von Apps verwendet werden kann. Dieselben Richtlinien können wiederholt auf neue Apps angewendet werden, wodurch Ihre Sicherheit in der CI/CD-Pipeline automatisiert wird.

Lassen Sie uns die Sache genauer betrachten und drei Phasen der Verkehrsverarbeitung betrachten, in denen F5 NGINX App Protect und F5 NGINX Plus Ihnen bei der Automatisierung des Sicherheitsschutzes helfen:

  • Phase 1 – F5 NGINX App Protect DoS erkennt und schützt vor Denial-of-Service (DoS) -Angriffen
  • Phase 2 – F5 NGINX App Protect WAF schützt vor OWASP Top 10- Angriffen und bösartigen Bots
  • Phase 3 – F5 NGINX Plus authentifiziert App- und API-Clients und erzwingt Autorisierungsanforderungen mithilfe nativer Funktionen und Integrationen mit Single Sign-On (SSO)-Lösungen von Drittanbietern.
Diagramm einer dreiphasigen Sicherheitslösung für effizientes Anwendungsverkehrsmanagement zum Blockieren unrechtmäßigen Datenverkehrs und Automatisieren der Sicherheit mit NGINX App Protect DoS und WAF sowie NGINX Plus
Eine dreiphasige Sicherheitslösung für effizientes Anwendungsverkehrsmanagement, um unrechtmäßigen Datenverkehr zu blockieren und die Sicherheit zu automatisieren, was Zeit und Geld spart

Diese dreiteilige Sicherheitslösung spart Ihnen insbesondere in einer öffentlichen Cloud-Umgebung gleich zweifach Geld:

  1. Nur legitimer Datenverkehr erreicht Ihre Apps, da NGINX App Protect DoS den Datenverkehr von DoS-Angriffen herausfiltert und NGINX App Protect WAF anschließend mehrere Angriffsvektoren wie die OWASP Top 10 eliminiert.
  2. Dank des hocheffizienten, ereignisgesteuerten Designs von NGINX Plus können große Mengen an Anfragen pro Sekunde bei geringer CPU-Auslastung verarbeitet werden. Die Verarbeitung ausschließlich legitimen Anwendungsverkehrs auf einer hocheffizienten Plattform erfordert erheblich weniger Rechenressourcen. Dadurch sparen Sie Zeit und Geld und gewährleisten Schutz vor mehreren Angriffsvektoren, ohne Ihre Tools zu überlasten.

Wenn Sie derzeit F5 BIG-IP Advanced WAF verwenden, um in Ihrem Rechenzentrum ausgeführte Apps zu sichern, können Sie NGINX Plus problemlos als Ingress-Controller für Kubernetes mit NGINX App Protect Dos und WAF als umfassende Lösung hinzufügen, um Ihre modernen Anwendungen zu skalieren und zu sichern und Kubernetes-Apps in der Cloud zu orchestrieren. Mit dem Security-as-Code -Ansatz von F5 können Sie Infrastruktur- und Sicherheitsrichtlinienkontrollen als Code über eine deklarative API oder deklarative JSON-formatierte Definitionen in einer Datei definieren und BIG-IP-XML-Dateien auch in JSON-Dateien konvertieren. Ihre Richtlinien – die standardmäßigen Unternehmenssicherheitskontrollen, die SecOps gehören und von SecOps verwaltet werden – können in einem Code-Repository gespeichert werden, aus dem sie abgerufen und wie jeder andere Code in Ihre Entwicklungspipeline integriert werden. Dieser Ansatz hilft DevOps und SecOps, betriebliche Lücken zu schließen und Apps schneller, kostengünstiger und mit besserer Sicherheit auf den Markt zu bringen.

F5 integriert die Erstellung und Festlegung von WAF-Richtlinien in den Entwicklungsprozess. Dies ist ein wichtiger Teil der „Verlagerung der Sicherheit nach links“ in der Anwendungsentwicklungspipeline und der Automatisierung der Anwendungsbereitstellung.

Die Sichtbarkeitstools in BIG-IP und NGINX ergänzen sich gegenseitig und ermöglichen es SecOps, Automatisierungsprozesse frühzeitig in Ihren DevOps-Lebenszyklus zu integrieren. Mit BIG-IP können Teams XML-Dateien in JSON-Dateien konvertieren, die von NGINX verwendet werden, um Ihre konsistenten Sicherheitsrichtlinien aufrechtzuerhalten. NGINX ermöglicht Teams die Feinabstimmung bereits vorhandener Apps und sorgt gleichzeitig für eine moderne Automatisierung der App-Sicherheit, um künftige Sicherheitsverstöße und die Kosten dieser potenziellen Angriffe zu vermeiden.

Phase 1: NGINX App Protect DoS schützt vor DoS-Angriffen

Die erste Station auf unserem Weg zum sicheren Verkehrsmanagement ist die Abwehr von Denial-of-Service-Angriffen (DoS) . Diesem Missbrauch von vornherein ein Ende zu setzen, ist eine notwendige erste Verteidigungslinie.

Wir haben bereits zuvor festgestellt, dass Angreifer zunehmend von traditionellen volumetrischen Angriffen auf die Verwendung von HTTP- und HTTPS-Anfragen oder API-Aufrufen umsteigen, um auf Ebene 7 anzugreifen. Warum? Sie folgen dem Weg des geringsten Widerstandes. Infrastrukturingenieure haben Jahre damit verbracht, wirksame Abwehrmaßnahmen gegen Layer-3- und Layer-4-Angriffe zu entwickeln, um diese leichter zu blockieren und ihren Erfolg zu verlangsamen. Layer-7-Angriffe können diese herkömmlichen Abwehrmaßnahmen umgehen.

Nicht alle DoS-Angriffe sind volumetrisch. Angriffe, die darauf abzielen, Serverressourcen durch „niedrige und langsame“ Methoden wie Slow POST oder Slowloris zu verbrauchen, können leicht im legitimen Datenverkehr verborgen werden. Und während Open-Source-HTTP/2-Remote-Prozedur-Call-Frameworks wie gRPC die Geschwindigkeit und Flexibilität bieten, die moderne Apps brauchen, macht ihre charakteristische offene Natur sie potenziell anfälliger für DoS-Angriffe als proprietäre Protokolle.

Im Gegensatz zu herkömmlichen DoS-Schutzmaßnahmen erkennt NGINX App Protect DoS heutige Angriffe durch die Nutzung automatisierter Benutzer- und Site-Verhaltensanalysen, proaktiver Integritätsprüfungen und einer No-Touch-Konfiguration. Es handelt sich um eine Lösung mit geringer Latenz zum Stoppen gängiger Angriffe, darunter HTTP GET Flood, HTTP POST Flood, Slowloris, Slow Read und Slow POST .

Um diese Angriffe zu bekämpfen, müssen SecOps- und DevOps-Teams die Automatisierung der „Sicherheit als Code“ in ihren CI/CD-Workflow integrieren – das ist Teil der Shift-Left-Denkweise. NGINX App Protect DoS ermöglicht dies. Es sichert moderne, verteilte Apps und APIs mit erweitertem Schutz vor DoS-Bedrohungen und hilft dabei, die manchmal kollidierenden Prioritäten von SecOps und DevOps in Einklang zu bringen, indem es dieses Modell durch ein leichtes Softwarepaket, eine kontinuierliche Feedbackschleife zur Bedrohungsminderung und die Integration mit bekannten DevOps-Tools über RESTful-APIs unterstützt.

NGINX App Protect DoS integriert die Technologie des maschinellen Lernens (ML), die im IBM Security-Bericht als Schlüssel zu erheblichen Kosteneinsparungen hervorgehoben wird. Es analysiert das Clientverhalten und die Anwendungsintegrität, um normale Verkehrsmuster zu modellieren, verwendet einzigartige Algorithmen, um ein dynamisches statistisches Modell zu erstellen, das den genauesten Schutz bietet, und setzt dynamische Signaturen ein, um Angriffe automatisch abzuschwächen. Darüber hinaus misst es kontinuierlich die Wirksamkeit der Schadensbegrenzung und passt sich an verändertes Verhalten oder den Gesundheitszustand an. Diese Funktionen ermöglichen es NGINX App Protect DoS, DoS-Angriffe zu blockieren, bei denen jede Angriffsanforderung völlig legal aussieht und ein einzelner Angreifer möglicherweise sogar weniger Datenverkehr erzeugt als der durchschnittliche legitime Benutzer.

Diagramm mit acht Arten von Angriffen, die von NGINX App Protect WAF und DoS blockiert werden
Sicherheitslösung Phase 1 und Phase 2: Anwendungssicherheit mit effizienter Verkehrsverarbeitung durch
NGINX App Protect DoS und WAF

Phase 2: NGINX App Protect WAF schützt vor den OWASP Top Ten

Obwohl der DoS-Schutz bösartigen Datenverkehr eindeutig daran hindert, in Ihre Infrastruktur einzudringen, können Angriffe dennoch ihren Weg durch finden. Aus diesem Grund benötigen Sie für die nächste Phase einer erfolgreichen Verteidigung eine Web Application Firewall (WAF), die sich auf den als legitim getarnten Datenverkehr von böswilligen Akteuren konzentriert.

NGINX App Protect WAF ist leicht und leistungsstark und bietet umfassenden Sicherheitsschutz, der Antworten prüft, die Einhaltung des HTTP-Protokolls erzwingt, Umgehungstechniken erkennt, Kreditkartennummern und andere vertrauliche persönliche Informationen mit Data Guard maskiert und auf nicht zulässige Metazeichen und Dateitypen, fehlerhaftes JSON und XML sowie vertrauliche Parameter prüft. Es schützt auch vor den aktualisierten OWASP Top 10 :

Es ist keine Überraschung, dass Cyberangriffe auf die OWASP-Top-10 -Schwachstellen wie A03:2021 Injection nach wie vor beliebt sind. Im Juli 2021 gab die Open-Source-E-Commerce-Site WooCommerce bekannt, dass viele ihrer Plug-ins anfällig für SQL-Injection seien und es zu dieser Zeit zu mehreren Angriffen kam. Da Unternehmen und Kunden hauptsächlich online agieren, ist es verständlich, dass sich Angreifer auf webbasierte Apps konzentrieren. Diese sind oft komplex, bestehen aus Mikrodiensten und erstrecken sich über verteilte Umgebungen mit vielen miteinander kommunizierenden APIs. Dadurch erhöht sich die Zahl der Endpunkte, die anfällig für Angriffe sind.

Auch moderne Angriffe verändern und passen sich schnell an. Hier kommt die KI ins Spiel, und deshalb hat IBM auf ihre Bedeutung hingewiesen. Wie bei NGINX App Protect DoS erleichtert das umfangreiche ML-System in NGINX App Protect WAF den Teams von Platform Ops, DevOps und SecOps den Austausch von Angriffstrends und -daten. Eine neue Funktion – die Adaptive Violation Rating -Funktion – wird ML weiter nutzen, indem sie erkennt, wenn sich das Verhalten einer Anwendung ändert. Mit dieser ML-Funktion bewertet NGINX App Protect WAF kontinuierlich das prädiktive Verhalten für jede Anwendung. Auf der Grundlage dieser Erkenntnisse kann es Client-Anfragen zulassen, die andernfalls blockiert würden. Dadurch wird der Verstoß-Rating-Score einer App gesenkt und die Anzahl falscher Positivmeldungen deutlich reduziert. Dies führt zu einer besseren Benutzererfahrung bei geringeren Verwaltungskosten.

NGINX App Protect WAF bietet auch Bot-Schutz. Heute stammen fast 50 % des Internetverkehrs von Bots . Durch die Eliminierung bekannten bösartigen Datenverkehrs im Vorfeld kann NGINX App Protect WAF mithilfe seiner Bot-Signatur-Datenbank Bot-Datenverkehr schnell blockieren.

Die frühzeitige Einführung von WAF als Sicherheitsebene in Ihrer CI/CD-Pipeline trägt dazu bei, Sicherheitsrisiken zu mindern. Da NGINX App Protect WAF CI/CD-freundlich ist, können Sie Sicherheit schon früh in Ihren Anwendungsentwicklungsprozess als Code integrieren und automatisieren. Durch frühzeitiges Sicherheitsbewusstsein und die richtige Zusammenarbeit zwischen den Teams beseitigen Sie zudem Engpässe wie Lieferrisiken. Der mehrstufige DoS- und WAF-Schutz schafft zahlreiche Prüfpunkte und gibt den Sicherheitsteams Einblick in die App-Nutzung und den App-Teams Wissen darüber, wie die Apps gewartet werden.

Phase 3: NGINX Plus authentifiziert und autorisiert App- und API-Clients

Auch nachdem NGINX App Protect Dos und NGINX App Protect WAF bösartigen Datenverkehr ausgesondert haben, müssen Sie weiterhin überprüfen, ob die Clients legitim sind und über die Berechtigung zum Zugriff auf die angeforderten Ressourcen verfügen. Hier kommt NGINX Plus ins Spiel, das die Authentifizierung und Autorisierung übernimmt und die Anfragen dann an die entsprechenden Server weiterleitet. Indem Sie NGINX Plus als API-Gateway bereitstellen, können Sie einen konsistenten Einstiegspunkt für mehrere APIs bereitstellen und so Ihren Stack vereinfachen.

Authentifizierung und Autorisierung können auch mit Single Sign-On (SSO) automatisiert werden, damit DevOps-Teams die gewünschte Agilität beibehalten können. NGINX Plus unterstützt OpenID Connect (OIDC), eine Identitätsschicht über dem OAuth 2.0- Protokoll. In den NGINX-Dokumenten erklären wir, wie Sie OIDC verwenden, um SSO für Anwendungen zu aktivieren, die von NGINX Plus geproxied werden .

Sicherheitslösung Phase 3: Authentifizierung und Autorisierung mit NGINX Plus und OAuth 2.0/OIDC IdP-kompatible Beispiele für SSO

Aufgrund ihrer offenen Natur sind APIs anfällige Ziele. Gartner Research prognostizierte in seinem Jahresbericht, dass APIs im Jahr 2022 zum häufigsten Angriffsvektor werden und zahllose Datenlecks bei Unternehmens-Web-Apps verursachen würden. Diese Vorhersage bewahrheitet sich auch im Jahr 2022, wenn wir beobachten, dass die API-Angriffsfläche in allen Organisationen weiter wächst.

Die API-Authentifizierungsvorfälle: Der Application Protection Report 2020 von F5 Labs hebt drei häufige Gründe für API-Vorfälle hervor:

  1. Keine Authentifizierung an API-Endpunkten
  2. Defekte API-Authentifizierung
  3. Fehlerhafte API-Autorisierung

Keine Authentifizierung an API-Endpunkten

Wenn Sie die Authentifizierung des API-Datenverkehrs implementieren, erhalten Clients, die ihre Identität erfolgreich nachweisen, ein Token von einem vertrauenswürdigen Identitätsanbieter. Der Client legt dann bei jeder HTTP-Anfrage den Zugriffstoken vor. Bevor die Anfrage an die Anwendung weitergeleitet wird, stellt NGINX Plus die Authentifizierung und Autorisierung des Clients sicher, indem es das Token validiert und die Identität und andere im Token codierte Daten (z. B. Gruppenmitgliedschaft) extrahiert. Vorausgesetzt, das Token ist validiert und der Client ist zum Zugriff auf die Ressource berechtigt, wird die Anforderung an den Anwendungsserver weitergeleitet. Es gibt mehrere Methoden, um diese Validierung durchzuführen, aber OpenID Connect (basierend auf dem OAuth 2.0-Protokoll) ist eine beliebte Möglichkeit, die Authentifizierung von API-Anfragen durch Dritte zu ermöglichen.

Allerdings sind viele APIs auf dem Markt auf der Authentifizierungsebene ungeschützt. Im Jahr 2021 wurde bekannt, dass die interaktive Fitnessplattform Peloton eine undichte API hatte . Ein Sicherheitsforscher entdeckte, dass es möglich war, nicht authentifizierte Anfragen an die API von Peloton zu stellen und so problemlos Benutzerdaten ohne Authentifizierung abzurufen. Zwar hat Peloton den Code vor einem größeren Verstoß repariert, doch dieses Missgeschick macht deutlich, dass ein monolithischer Sicherheitsansatz die inhärente Vielfalt der API-Strukturen und die daraus resultierende Notwendigkeit von Agilität bei ihrer Verteidigung nicht berücksichtigt.

Defekte API-Authentifizierung

APIs sind für die Verbindung zwischen Computern konzipiert, daher gehen viele DevOps-Teams davon aus, dass keine Menschen mit dem API-Endpunkt kommunizieren. Ein Beispiel aus dem Bericht von F5 Labs betrifft einen Forscher, der mehrere API-Anfragen aneinandergereiht hat, um Hunderttausende Dollar in Credits für eine mobile App zu „verdienen“. Die App generierte kontinuierlich Token, die Missbrauch verhindern sollten, hatte aber kein Ablaufdatum für diese, sodass sie immer wieder verwendet werden konnten.

Wenn Sie API-Authentifizierungstoken nicht richtig validieren, können Angreifer API-Schwachstellen ausnutzen. Wenn diese Art von Schwachstelle nicht von einem Forscher, sondern von einem böswilligen Akteur entdeckt wird, kann dies ein ganzes Unternehmen gefährden.

Fehlerhafte API-Autorisierung

Eine fehlgeschlagene API-Authentifizierung führt zwangsläufig zu einer fehlerhaften API-Autorisierung. In den Berichten von F5 Labs wird auch ein Vorfall beschrieben, bei dem ein Fehler im Betriebssystem bösartige HTTP-Anfragen an die API ermöglichte und so böswilligen Akteuren einfachen Zugriff auf Autorisierungstoken ermöglichte. Sobald die Angreifer dieses Autorisierungstoken erworben hatten, verfügten sie über Administratorrechte.

NGINX bietet mehrere Ansätze zum Schutz von APIs und zur Authentifizierung von API-Clients. Weitere Informationen finden Sie in der Dokumentation zu IP-adressbasierten Zugriffskontrolllisten (ACLs), zur digitalen Zertifikatsauthentifizierung und zur HTTP-Basisauthentifizierung . Darüber hinaus unterstützt NGINX Plus nativ die Validierung von JSON Web Tokens (JWTs) zur API-Authentifizierung. Weitere Informationen zur Authentifizierung von API-Clients mit JWT und NGINX Plus finden Sie in unserem Blog.

Legen Sie noch heute los

Durch die Automatisierung der Sicherheit wird jeder dafür verantwortlich. Indem Ihr Unternehmen der Sicherheitsautomatisierung Priorität einräumt, kann es zuverlässigere Apps erstellen, Risiken mindern, die Betriebskosten senken und die Release-Geschwindigkeit erhöhen. Das bedeutet, dass Ihre Microservices, Apps und APIs eine agile Sicherheit erhalten, die skalierbar und schnell genug ist, um mit der heutigen Konkurrenz Schritt zu halten.

Diese dreiphasige Sicherheitsstruktur bietet außerdem den besten Ablauf, da Sie Ihren WAF nicht durch die Überprüfung des Datenverkehrs nach einem DoS-Angriff behindern oder wertvolle Ressourcen beim Versuch der Authentifizierung und Autorisierung böswilliger Akteure verschwenden möchten. Durch die frühzeitige Beseitigung leicht erkennbarer Angriffe können Sie Zeit und Geld sparen und die Leistung Ihrer App steigern.

Sind Sie bereit, NGINX Plus und NGINX App Protect selbst auszuprobieren? Starten Sie noch heute eine 30-tägige kostenlose Testversion oder kontaktieren Sie uns, um Ihre Anwendungsfälle zu besprechen .


„Dieser Blogbeitrag kann auf Produkte verweisen, die nicht mehr verfügbar und/oder nicht mehr unterstützt werden. Die aktuellsten Informationen zu verfügbaren F5 NGINX-Produkten und -Lösungen finden Sie in unserer NGINX-Produktfamilie . NGINX ist jetzt Teil von F5. Alle vorherigen NGINX.com-Links werden auf ähnliche NGINX-Inhalte auf F5.com umgeleitet."