Integration von F5- und NGINX WAF-Richtlinien in die Controller-App-Sicherheit
Seit NGINX vor zwei Jahren zu F5 kam, war die Integration der branchenführenden Sicherheitskompetenz von F5 in die NGINX-Produkte einer der größten Vorteile für unsere Kunden. F5 NGINX App Protect WAF und F5 NGINX Controller App Security nutzen dieselbe Web Application Firewall (WAF)-Technologie wie F5 Advanced WAF , F5 Silverline WAF und andere Sicherheitslösungen von F5. Obwohl jedes Produkt einen anderen Formfaktor hat, um bestimmte Umgebungen, Bereitstellungsszenarien und Verwaltungsanwendungsfälle zu unterstützen, können Kunden sicher sein, dass sie von derselben bekannten und vertrauenswürdigen Sicherheits-Engine vor den fortschrittlichsten Webangriffen geschützt werden.
Die gemeinsam genutzte WAF-Technologie bedeutet auch, dass F5-Kunden standardisierte Richtlinien beibehalten können, die bereits von ihren Sicherheitsteams genehmigt wurden, wenn sie von einer herkömmlichen Umgebung, die ein Produkt wie F5 Advanced WAF verwendet, zu Container- und Cloud-Umgebungen migrieren, für die NGINX App Protect WAF besser geeignet ist. Durch die produktübergreifende Portabilität der WAF-Richtlinien können F5- und NGINX-Kunden schnell und einfach eine starke, konsistente und konforme Sicherheitslage gewährleisten.
Als wir NGINX Controller App Security für das Application Delivery Module einführten , war eine Standardrichtlinie enthalten, die sich auf den Schutz vor den OWASP Top 10 und anderen Bedrohungen mit einem Minimum an Fehlalarmen konzentrierte. Mit Controller App Security für Version 3.20 des Application Delivery Module können Sie jetzt Ihre benutzerdefinierten NGINX App Protect WAF-Richtlinien importieren und sie auf alle Ihre verwalteten Bereitstellungen verteilen. Wir nennen dies „Bring Your Own NGINX App Protect WAF-Richtlinie“ (BYO App Protect-Richtlinie).
Um mehr zu erfahren, lesen Sie weiter und sehen Sie sich diese Videoübersicht an:
Aufrechterhaltung konsistenter WAF-Richtlinien während der gesamten App-Modernisierung
Viele unserer Kunden mit herkömmlichen Anwendungsbereitstellungsumgebungen beginnen mit der Verwendung von F5 Advanced WAF oder BIG-IP ASM. Im Zuge der Modernisierung ihrer Apps können sie NGINX App Protect und NGINX Controller App Security für neue Apps nutzen, die einen DevOps-orientierten Ansatz zur Bereitstellung von WAF-Diensten benötigen.
NGINX App Protect WAF allein sichert moderne Apps mit Funktionen, die vom Schutz vor den OWASP Top Ten und anderen fortgeschrittenen Bedrohungen bis hin zur vereinfachten, deklarativen Richtliniendefinition reichen. Die Einführung von Controller App Security zur Verwaltung von NGINX App Protect WAF-Instanzen bietet zusätzliche Vorteile:
- Sicherheitsteams erhalten sofort einsatzbereite Transparenz und können Dev- und DevOps-Teams genehmigte WAF-Richtlinien sowie Self-Service-Bereitstellung und -Verwaltung von NGINX App Protect WAF-Instanzen bereitstellen. Noch besser: Eine einzelne Controller-Instanz kann mehrere Teams unterstützen.
- Entwickler- und DevOps-Teams können die ihnen bereits vertraute Controller-API und GUI verwenden, um die genehmigten WAF-Richtlinien auf ihre Apps anzuwenden, ohne dass sie die Richtlinien oder die Konfiguration der NGINX App Protect WAF-Instanzen, die die Richtlinien auf der Datenebene durchsetzen, gründlich verstehen müssen.
Vorbereiten von F5 WAF-Richtlinien für die Controller-App-Sicherheit
Damit Sie bei der Modernisierung Ihrer Apps konsistente Richtlinien für alle F5- und NGINX WAF-Implementierungen beibehalten können, stellen wir Ihnen den NGINX App Protect Policy Converter zur Verfügung. Es übersetzt F5 Advanced WAF-Richtlinien (im XML-Format) in NGINX App Protect WAF-Richtlinien (im JSON-Format). Sie können die konvertierten Richtlinien dann wie im nächsten Abschnitt beschrieben an Controller App Security übergeben.
Hier sind die Schritte zum Übersetzen einer F5 Advanced WAF-Richtlinie in eine NGINX App Protect WAF-Richtlinie, mit Links zu Anweisungen.
- Laden Sie das Docker-Image für den NGINX App Protect Policy Converter herunter und installieren Sie es .
- Exportieren Sie die F5 Advanced WAF-Richtlinie (die Anweisungen beziehen sich auf „BIG-IP ASM-Sicherheitsrichtlinien“, gelten aber auch für F5 Advanced WAF-Richtlinien).
- Konvertieren Sie die Richtlinie in eine JSON-formatierte NGINX App Protect WAF-Richtlinie.
Integrieren Sie Ihre NGINX App Protect WAF-Richtlinien in die Controller App Security
Mit Controller App Security für Version 3.20 des Application Delivery Module können Sie den BYO App Protect Policy- Prozess verwenden, um NGINX App Protect WAF-Richtlinien einzubinden und sie auf alle Ihre verwalteten NGINX App Protect-Instanzen zu verteilen. Die NGINX App Protect WAF-Richtlinie kann eine native Richtlinie sein oder eine, die Sie wie im vorherigen Abschnitt beschrieben aus F5 Advanced WAF konvertiert haben.
Der BYO App Protect Policy-Prozess verwendet ein Controller-Objekt namens „ Sicherheitsstrategie“ , einen logischen Container für sicherheitsrelevante Richtlinien, einschließlich benutzerdefinierter NGINX App Protect WAF-Richtlinien. Anschließend verweisen Sie in einer App auf die Sicherheitsstrategie, um die zugehörige WAF-Richtlinie auf die App anzuwenden.
Weitere Informationen zum BYO App Protect Policy-Prozess finden Sie in der Produktdokumentation .
Beachten Sie die Anweisungen in den folgenden Abschnitten für die Schnittstelle Ihrer Wahl:
Nachdem Sie die Schritte abgeschlossen haben, werden Aktualisierungen einer WAF-Richtlinie, die mithilfe des BYO App Protect Policy-Prozesses in Controller App Security eingebracht wurden, automatisch an alle App-Komponenten weitergegeben, die auf die zugehörige Sicherheitsstrategie verweisen.
Mit Controller App Security für Version 3.20 des Application Delivery Module werden nur WAF-Richtlinien unterstützt, die in einer einzelnen Datei definiert sind. Die Unterstützung von WAF-Richtlinien mithilfe externer Referenzen (WAF-Richtlinien, die durch mehrere Dateien dargestellt werden) ist für eine zukünftige Version geplant.
Verwenden der API
Führen Sie die folgenden Schritte aus, um mithilfe der Controller-API eine WAF-Richtlinie in Controller App Security zu integrieren:
Übergeben Sie die NGINX App Protect WAF-Richtlinie mit einer
PUT-Anfrage an den Endpunkt der Sicherheitsrichtlinie:https://{{CONTROLLER_FQDN}}/api/v1/security/policies/{{policy}}mit einem JSON-Objekt ähnlich dem folgenden:
{ "Metadaten": { "Name": "lowriskapppolicy", "Anzeigename": „Richtlinie zum Schutz von Apps mit geringem Risiko“, „Beschreibung“: „Unternehmens-WAF-Richtlinie für interne Apps mit geringem Risiko“, }, „desiredState“: { „content“: { „policy“: { „name“: „lowriskapppolicy“, „template“: { „name“: "POLICY_TEMPLATE_NGINX_BASE" }, "Anwendungssprache": "utf-8", "Durchsetzungsmodus": "blockierend", "Signaturen": [ { "Signatur-ID": 123458888, "aktiviert": falsch }, { "Signatur-ID": 304500123, "aktiviert": falsch } ], } } } }Erstellen Sie eine Sicherheitsstrategie, die mit einer
PUT-Anfrage an den Endpunkt der Sicherheitsstrategien auf die WAF-Richtlinie verweist:https://{{CONTROLLER_FQDN}}/api/v1/security/strategies/{{strategy}}mit einem JSON-Objekt ähnlich dem folgenden:
{ "Metadaten": { "Name": "lowriskstrategy", "Anzeigename": „Strategie für risikoarme Apps“, „Beschreibung“: "Unternehmensstrategie für interne Apps mit geringem Risiko", }, "desiredState": { "content": { "securityPolicyRef": "/security/policies/lowriskapppolicy" } } }Wenden Sie die WAF-Richtlinie auf eine App-Komponente (z. B. eine App-URI einer App) an, um mit einer
PUT-oderPOST-Anfrage an den Endpunkt der App-Komponente auf die Sicherheitsstrategie zu verweisen:https://{{Controller_FQDN}}/api/v1/services/environments/{{env}}/apps/{{app}}/components/{{component}}mit einem JSON-Objekt ähnlich dem folgenden:
{ "Metadaten": { "Name": "main" }, "gewünschter Status": { "Eingang": { "URIS": { "/": { } }, . . . "Sicherheit": { "Strategiereferenz": { "Referenz": "/Sicherheit/Strategien/niedrigeRisikostrategie" }, "Waf": { "ist aktiviert": true } }, . . . }
Verwenden der GUI
Führen Sie die folgenden Schritte aus, um mithilfe der Controller-GUI eine WAF-Richtlinie in Controller App Security zu importieren und anzuwenden:
Erstellen Sie auf der Seite „Sicherheitsstrategie erstellen“ eine Sicherheitsstrategie.
Wenn die NGINX App Protect WAF-Richtlinie bereits im Controller verfügbar ist, wählen Sie sie aus dem Dropdown-Menü im Feld „Richtlinie“ aus.
Wenn es nicht bereits aufgeführt ist, klicken Sie auf + NEU ERSTELLEN . Laden Sie im angezeigten Popupfenster „Sicherheitsrichtlinie erstellen“ eine Datei hoch, die die JSON-formatierte NGINX App Protect WAF-Richtlinie enthält.
Wählen Sie auf der Seite „App-Komponente bearbeiten“ für die App, auf die Sie die WAF-Richtlinie anwenden, die zugehörige Sicherheitsstrategie aus.
Freigaberichtlinien innerhalb des NGINX-Controllers
Nachdem Sie eine Richtlinie mithilfe des BYO App Protect Policy-Prozesses in Controller App Security eingebracht haben, kann sie für alle im Controller definierten Apps freigegeben werden, auch wenn diese von unterschiedlichen Teams verwaltet werden. Wenn mehrere Controller-App-Komponenten (oder Unterkomponenten einer App, z. B. URIs) auf dieselben Richtlinien verweisen, können Sie Ihre Sicherheitslage über viele Apps und APIs hinweg standardisieren.
Der Controller zentralisiert die Verwaltung und Versionierung von WAF-Richtlinien. Wenn Sie eine neue Version einer Richtlinie veröffentlichen, wird sie in allen Controller-App-Komponenten aktualisiert, die darauf verweisen – das vereinfacht den Betrieb erheblich.
Zusammenfassung
Die F5 WAF-Technologieplattform ermöglicht die Portabilität und Wiederverwendbarkeit derselben WAF-Schutzrichtlinien für eine standardisierte Sicherheitslage über alle Apps hinweg. Diese Designphilosophie unterstützt auch alle Ihre Anwendungsfälle, die durch F5- und NGINX-WAF-Lösungen geschützt sind, und macht die Verwaltung und Bereitstellung der App-Sicherheit schneller, einfacher und wiederholbarer.
Mit der BYO App Protect Policy-Funktion von Controller App Security (verfügbar in Controller ADM 3.20) können Sie jetzt Ihre benutzerdefinierten NGINX App Protect WAF-Richtlinien verwenden. So können Sie neue Apps einfacher mit robusten, konsistenten und bewährten Richtlinien schützen, die mit NGINX App Protect WAF oder F5 Advanced WAF erstellt wurden. Und das Beste: Mit BYO App Protect Policy und Controller App Security kann eine einzige geprüfte Richtlinie auf viele Apps angewendet werden, was die Prozesse zur Richtlinienänderung erheblich vereinfacht und rationalisiert.
Mithilfe des NGINX Controllers können Sicherheitsteams ihren App-Teams weiterhin Sicherheit in einem Self-Service-Modell bieten und so die Produktivität und Sicherheit von Unternehmen steigern.
Möchten Sie NGINX Controller App Security selbst ausprobieren? Starten Sie noch heute Ihre kostenlose 30-Tage-Testversion des NGINX Controllers oder kontaktieren Sie uns, um Ihre Anwendungsfälle zu besprechen .
„Dieser Blogbeitrag kann auf Produkte verweisen, die nicht mehr verfügbar und/oder nicht mehr unterstützt werden. Die aktuellsten Informationen zu verfügbaren F5 NGINX-Produkten und -Lösungen finden Sie in unserer NGINX-Produktfamilie . NGINX ist jetzt Teil von F5. Alle vorherigen NGINX.com-Links werden auf ähnliche NGINX-Inhalte auf F5.com umgeleitet."