Moderne Anwendungsteams sind sich zunehmend der Bedeutung und der Vorteile einer „ Verlagerung der Sicherheit nach links “ bewusst, d. h. der Einbindung von Sicherheitskontrollen bereits zu einem frühen Zeitpunkt im Entwicklungs- und Bereitstellungszyklus der Anwendung. In einer Shift-Left-Welt wählt jedes Team die Sicherheitslösungen und -parameter, die für seine Anwendung am besten geeignet sind. Das ist natürlich sinnvoll; wir bei NGINX plädieren für ein Platform-Ops-Team , das Entwicklern „Auswahl mit Leitplanken“ bietet, indem es aktiv einen geeigneten Satz an Sicherheitslösungen kuratiert. Anschließend müssen die Entwickler die Sicherheit für ihre Apps konfigurieren, was im Allgemeinen die Bereitstellung einer Web Application Firewall (WAF) umfasst, auch für interne Anwendungen und Microservices.
Doch in Kubernetes – der De-facto-Standard-Container-Orchestrierungs-Engine für moderne App-Teams – wird das Shifting Left viel komplizierter, wobei insbesondere die Kommunikation und Koordination große Herausforderungen darstellen. Es ist nicht realistisch, von Entwicklern zu verlangen, die Kommunikation über mehrere Cluster hinweg zu verwalten. Darüber hinaus gibt es Architektur- und Leistungsüberlegungen hinsichtlich der Platzierung einer WAF in Kubernetes. Mit NGINX App Protect WAF können Sie die WAF entweder in den NGINX Ingress Controller integrieren oder eine separate WAF vor bestimmte Microservices oder Anwendungen platzieren.
Beide Ansätze sind großartig, eignen sich aber am besten für unterschiedliche Anwendungsfälle. Für Entwickler und App-Teams, die sich auf die Verwaltung nur ihrer eigenen Anwendungen konzentrieren, ist die Bereitstellung von NGINX App Protect WAF auf einem NGINX Plus-Load Balancer vor den Apps eine perfekte Lösung, die ihnen Kontrolle und Flexibilität gibt. Für DevSecOps-Teams, die die Sicherheit auf Pod- oder Serviceebene für Kubernetes-Cluster und die darin ausgeführten Anwendungen verwalten möchten, ist die Ausführung von NGINX App Protect WAF auf dem NGINX Ingress Controller basierend auf NGINX Plus optimal, da sie dadurch alle Vorteile der Ingress-Kontrolle und der nativen Integration mit der Kubernetes-API nutzen können.
Wie bereits erwähnt, ist das Einrichten der Kommunikation zwischen Load Balancern, Ingress-Controllern und WAFs über Cluster hinweg und sogar innerhalb von Clustern eine Herausforderung. Es erfordert ein detailliertes Verständnis der Layer-7- und Layer-4-Netzwerke sowie eine ständige Feinabstimmung. Allerdings ist eine robuste und nahezu in Echtzeit erfolgende Kommunikation für die Aufrechterhaltung einer starken Sicherheitslage unabdingbar. Mit der richtigen Kommunikation können WAFs, Load Balancer und Ingress-Controller alle Anwendungen und Instanzen schnell über neue Angriffe informieren und Daten über die Art des Angriffs, die Zielprotokolle und -software, relevante IP-Adressblöcke und mehr austauschen. Die Kommunikation wird noch leistungsfähiger, wenn maschinelles Lernen (ML) zur schnellen Mustererkennung ergänzt wird.
NGINX App Protect WAF enthält ein umfangreiches ML-System, das es Platform Ops-, DevSecOps- und SecOps-Teams erleichtert, Angriffstrends und Daten über alle WAFs hinweg zu teilen, die unter NGINX Plus oder dem auf NGINX Plus basierenden NGINX Ingress Controller in einer einzigen Organisation verwaltet werden. Wir arbeiten an einer neuen Funktion in NGINX App Protect WAF, der Funktion „Adaptive Violation Rating“, die ML weiter nutzt, um die Sicherheitsoptimierung zu verbessern, indem sie erkennt, wenn sich das Verhalten eines Mikrodienstes ändert. Mit dieser ML-Funktion kann NGINX App Protect WAF Angriffstrends kontinuierlich und automatisch analysieren, sogar über Tausende oder Zehntausende von WAFs auf der ganzen Welt hinweg. Die Erkenntnisse aus dieser Analyse können genutzt werden, um die Sicherheitslage nahezu in Echtzeit kontinuierlich zu optimieren, ohne dass Entwickler und andere Shift-Left-Teams zu Sicherheitsexperten werden und an ihren WAFs herumfummeln müssen. Und noch besser: Je mehr Daten zwischen den NGINX App Protect WAF-Instanzen geteilt werden, desto intelligenter werden die WAFs.
ML-Funktionen werden immer wichtiger und wertvoller, da Unternehmen die Nutzung von Microservices ausweiten und die Unterscheidung zwischen internen und externen Anwendungen schrumpft. Mit potenziell Tausenden von Microservices, von denen jeder über seinen eigenen leichten WAF verfügt, wird das vernetzte und ML-fähige NGINX App Protect WAF zum Äquivalent eines lebendigen Sicherheitsgehirns, das über Ihre Apps wacht. Moderne Apps müssen intelligenter sein, um Shift-Left-Teams gerecht zu werden und ihnen zu ermöglichen, sich auf die Bereitstellung von Code und Funktionen zu konzentrieren, ohne zu Sicherheitsexperten werden zu müssen. Auch DevSecOps-Teams profitieren von der Gewissheit, dass alle Ihre WAFs in allen Clustern auf dem gleichen Stand sind, auch ohne manuelles Tuning.
Kommunikation ist der Schlüssel. Dies ist eine Kernfunktion, die wir in alle unsere Produkte integrieren, um in diesem sich schnell entwickelnden Zeitalter massiv verteilter Datenverarbeitung und moderner Apps weiterhin die bestmögliche Technologie bereitzustellen.
Weitere Informationen und eine Demo der neuen ML-Funktionen, die wir zu NGINX App Protect WAF hinzufügen, erhalten Sie an unserem Stand Nr. 5771 in der Nordhalle des Moscone Center auf der RSA-Konferenz 2022 nächste Woche in San Francisco oder per E-Mail .
„Dieser Blogbeitrag kann auf Produkte verweisen, die nicht mehr verfügbar und/oder nicht mehr unterstützt werden. Die aktuellsten Informationen zu verfügbaren F5 NGINX-Produkten und -Lösungen finden Sie in unserer NGINX-Produktfamilie . NGINX ist jetzt Teil von F5. Alle vorherigen NGINX.com-Links werden auf ähnliche NGINX-Inhalte auf F5.com umgeleitet."