Incorporación de las políticas WAF de F5 y NGINX a la seguridad de la aplicación del controlador
Desde que NGINX se unió a F5 hace dos años, uno de los beneficios más significativos para nuestros clientes ha sido la integración de la experiencia en seguridad líder en la industria de F5 en los productos NGINX. F5 NGINX App Protect WAF y F5 NGINX Controller App Security aprovechan la misma tecnología de firewall de aplicação web (WAF) que F5 Advanced WAF , F5 Silverline WAF y otras soluciones de seguridad de F5. Si bien cada producto tiene un factor de forma diferente para soportar entornos particulares, escenarios de implementación y casos de uso de gestión, los clientes pueden estar seguros de que el mismo motor de seguridad conocido y confiable los protege contra los ataques web más avanzados.
La tecnología WAF compartida también significa que los clientes de F5 pueden conservar políticas estandarizadas ya aprobadas por sus equipos de seguridad a medida que migran de un entorno tradicional que utiliza un producto como F5 Advanced WAF a entornos en contenedores y en la nube, donde NGINX App Protect WAF se adapta mejor. La portabilidad de las políticas de WAF entre productos permite a los clientes de F5 y NGINX garantizar de forma rápida y sencilla una postura de seguridad sólida, consistente y compatible.
Cuando presentamos NGINX Controller App Security para el módulo de entrega de aplicação , venía con una política predeterminada enfocada en la protección contra OWASP Top 10 y otras amenazas, con un mínimo de falsos positivos. Con Controller App Security para la versión 3.20 del módulo de entrega de aplicação , ahora puede importar sus políticas WAF NGINX App Protect personalizadas y distribuirlas en todas sus implementaciones administradas. A esto le llamamos política de protección de WAF de Bring Your Own NGINX App Protect (política de protección de aplicaciones BYO).
Para obtener más información, siga leyendo y vea este resumen en video:
Mantener políticas WAF consistentes durante el proceso de modernización de aplicaciones
Muchos de nuestros clientes con entornos de entrega de aplicação tradicionales comienzan utilizando F5 Advanced WAF o BIG-IP ASM. A medida que avanzan en su proceso de modernización de aplicaciones, pueden aprovechar NGINX App Protect y NGINX Controller App Security para nuevas aplicaciones que necesitan un enfoque alineado con DevOps para implementar servicios WAF.
Por sí solo, NGINX App Protect WAF protege las aplicaciones modernas con funciones que van desde la defensa contra el Top Ten de OWASP y otras amenazas avanzadas hasta la definición de políticas declarativas simplificada. La adopción de Controller App Security para administrar instancias de WAF de NGINX App Protect tiene beneficios adicionales:
- Los equipos de seguridad obtienen una visibilidad mejorada lista para usar y pueden proporcionar a los equipos de Dev y DevOps políticas WAF aprobadas y aprovisionamiento y gestión de autoservicio de instancias WAF de NGINX App Protect. Mejor aún, una sola instancia de controlador puede admitir varios equipos.
- Los equipos de desarrollo y DevOps pueden usar la API y la GUI del controlador con las que ya están familiarizados para aplicar las políticas WAF aprobadas a sus aplicaciones, sin la necesidad de un conocimiento profundo de las políticas ni de la configuración de las instancias WAF de NGINX App Protect que aplican las políticas en el plano de datos.
Preparación de políticas de F5 WAF para la seguridad de la aplicación del controlador
Para ayudarlo a mantener políticas consistentes en todas las implementaciones de F5 y NGINX WAF a medida que avanza en su proceso de modernización de aplicaciones, ofrecemos el Conversor de políticas de protección de aplicaciones NGINX . Traduce las políticas Advanced WAF (formateadas en XML) a políticas WAF de NGINX App Protect (formateadas en JSON). Luego, puedes pasar las políticas convertidas a Controller App Security como se describe en la siguiente sección .
Estos son los pasos para traducir una política Advanced WAF a una política WAF de NGINX App Protect, con enlaces a instrucciones.
- Descargue e instale la imagen de Docker para NGINX App Protect Policy Converter.
- Exporte la política de F5 Advanced WAF (las instrucciones hacen referencia a “Políticas de seguridad de BIG‑IP ASM” pero también se aplican a las políticas de F5 Advanced WAF ).
- Convierta la política en una política WAF de NGINX App Protect con formato JSON.
Incorporación de las políticas de WAF de NGINX App Protect a la seguridad de la aplicación Controller
Con Controller App Security para la versión 3.20 del módulo de entrega de aplicação , puede usar el proceso de política de protección de aplicaciones BYO para incorporar políticas de WAF de NGINX App Protect y distribuirlas entre todas las instancias de NGINX App Protect administradas. La política WAF de NGINX App Protect puede ser nativa o una que usted convirtió desde F5 Advanced WAF como se describe en la sección anterior .
El proceso de política de protección de aplicaciones BYO emplea un objeto controlador llamado estrategia de seguridad , un contenedor lógico para políticas relacionadas con la seguridad, incluidas políticas WAF de protección de aplicaciones NGINX personalizadas. Luego, hace referencia a la estrategia de seguridad en una aplicación para aplicar la política WAF asociada a la aplicación.
Para obtener información adicional sobre el proceso de política de protección de aplicaciones BYO, consulte la documentación del producto .
Consulte las instrucciones en las siguientes secciones para la interfaz de su elección:
Después de completar los pasos, las actualizaciones de una política WAF incorporadas a Controller App Security mediante el proceso de política de protección de aplicaciones BYO se propagan automáticamente a todos los componentes de la aplicación que hacen referencia a la estrategia de seguridad asociada.
Con Controller App Security para la versión 3.20 del módulo de entrega de aplicação , solo se admiten las políticas WAF definidas en un solo archivo. Se planea admitir políticas WAF que utilicen referencias externas (políticas WAF representadas por múltiples archivos) en una versión futura.
Usando la API
Realice los siguientes pasos para incorporar una política WAF a Controller App Security mediante la API de Controller:
Pase la política WAF de NGINX App Protect con una solicitud
PUTal punto final de la política de seguridad:https://{{FQDN_DEL_CONTROLADOR}}/api/v1/seguridad/politicas/{{política}}con un objeto JSON similar al siguiente:
{ "metadatos": { "nombre": "políticadeaplicacióndebajoriesgo", "nombreparamostrar": "Política de protección de aplicaciones de bajo riesgo", "descripción": "Política corporativa de WAF para aplicaciones internas de bajo riesgo", }, "desiredState": { "content": { "policy": { "name": "lowriskapppolicy", "template": { "name": "POLÍTICA_TEMPLATE_NGINX_BASE" }, "Idioma_de_aplicación": "utf-8", "Modo_de_aplicación": "bloqueo", "firmas": [ { "Id_de_firma": 123458888, "habilitado": falso }, { "identificador de firma": 304500123, "habilitado": falso } ], } } } }Cree una estrategia de seguridad que haga referencia a la política WAF con una solicitud
PUTal punto final de las estrategias de seguridad:https://{{FQDN_DEL_CONTROLADOR}}/api/v1/seguridad/estrategias/{{estrategia}}con un objeto JSON similar al siguiente:
{ "metadatos": { "nombre": "estrategiadebajoriesgo", "nombreparamostrar": "Estrategia de aplicación de bajo riesgo", "descripción": "Estrategia corporativa para aplicaciones internas de bajo riesgo", }, "desiredState": { "content": { "securityPolicyRef": "/security/policies/lowriskapppolicy" } } }Aplique la política WAF a un componente de la aplicación (como una URI de una aplicación) para hacer referencia a la estrategia de seguridad con una solicitud
PUToPOSTal punto final del componente de la aplicación:https://{{FQDN_del_controlador}}/api/v1/servicios/entornos/{{entorno}}/aplicaciones/{{aplicación}}/componentes/{{componente}}con un objeto JSON similar al siguiente:
{ "metadatos": { "nombre": "principal" }, "estado deseado": { "ingreso": { "uris": { "/": { } }, . . . "seguridad": { "referencia_estrategia": { "ref": "/seguridad/estrategias/estrategiadebajoriesgo" }, "waf": { "estáhabilitado": verdadero } }, . . . }
Usando la GUI
Realice los siguientes pasos para incorporar y aplicar una política WAF en Controller App Security mediante la GUI del controlador:
Cree una estrategia de seguridad en la página Crear estrategia de seguridad .
Si la política WAF de NGINX App Protect ya está disponible en el controlador, selecciónela en el menú desplegable en el campo Política .
Si aún no está en la lista, haga clic en + CREAR NUEVO . En la ventana emergente Crear política de seguridad que aparece, cargue un archivo que contenga la política WAF de NGINX App Protect con formato JSON.
En la página Editar componente de la aplicación a la que está aplicando la política WAF, seleccione la Estrategia de seguridad asociada.
Políticas de uso compartido dentro del controlador NGINX
Después de incorporar una política a Controller App Security mediante el proceso de política de protección de aplicaciones BYO, esta se puede compartir entre todas las aplicaciones definidas en Controller, incluso si son administradas por equipos diferentes. Tener varios componentes de la aplicación del controlador (o subcomponentes de una aplicación, como URI) que hagan referencia a las mismas políticas ayuda a estandarizar su postura de seguridad en muchas aplicaciones y API.
El controlador centraliza la gestión y el control de versiones de las políticas de WAF. Cuando publica una nueva versión de una política, esta se actualiza en todos los componentes de la aplicación Controller que hacen referencia a ella, lo que simplifica enormemente las operaciones.
resumen
La plataforma de tecnología F5 WAF permite la portabilidad y reutilización de las mismas políticas de protección WAF para una postura de seguridad estandarizada en todas las aplicaciones. Esta filosofía de diseño también ayuda a respaldar todos los casos de uso protegidos por las soluciones F5 y NGINX WAF, lo que hace que la administración y la implementación de la seguridad de las aplicaciones sean más rápidas, fáciles y repetibles.
Con la función BYO App Protect Policy de Controller App Security (disponible en Controller ADM 3.20), ahora puede usar sus políticas NGINX App Protect WAF personalizadas, lo que facilita la protección de nuevas aplicaciones con políticas sólidas, consistentes y probadas creadas con NGINX App Protect WAF o F5 Advanced WAF. Lo mejor de todo es que con BYO App Protect Policy y Controller App Security, se puede aplicar una única política aprobada a muchas aplicaciones, lo que simplifica y agiliza enormemente los procesos de cambio de políticas.
NGINX Controller continúa permitiendo a los equipos de seguridad brindar seguridad en un modelo de autoservicio a sus equipos de aplicaciones, lo que fortalece a las organizaciones tanto en productividad como en seguridad.
¿Quieres probar la seguridad de la aplicación NGINX Controller tú mismo? Comience hoy mismo su prueba gratuita de 30 días del controlador NGINX o contáctenos para analizar sus casos de uso .
"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.