BLOG | NGINX

Proteja sus clústeres de Kubernetes con el nuevo aprendizaje automático en NGINX App Protect WAF

NGINX - Parte de F5 - horizontal, negro, tipo RGB
Miniatura de Thelen Blum
Thelen Blum
Publicado el 2 de junio de 2022
Miniatura de Yaniv Sazman
Yaniv Sazman
Publicado el 2 de junio de 2022

Los equipos de aplicação modernas son cada vez más conscientes de la importancia y los beneficios de “ desplazar la seguridad hacia la izquierda ”, es decir, incorporar controles de seguridad en las primeras etapas del ciclo de desarrollo e implementación de las aplicação . En un mundo con tendencia a la izquierda, cada equipo elige las soluciones y los parámetros de seguridad que mejor se adaptan a su aplicação. Esto es, por supuesto, razonable; en NGINX recomendamos tener un equipo de operaciones de plataforma que ofrezca a los desarrolladores “opciones con límites” seleccionando activamente un conjunto adecuado de soluciones de seguridad. Luego, los desarrolladores tienen la tarea de configurar la seguridad de sus aplicaciones, lo que generalmente incluye la implementación de un firewall de aplicação web (WAF), incluso para aplicações internas y microservicios.

Pero el cambio a la izquierda se vuelve mucho más complicado en Kubernetes (el motor de orquestación de contenedores estándar de facto para los equipos de aplicaciones modernos), donde las comunicaciones y la coordinación, en particular, presentan grandes desafíos. No es realista pedir a los desarrolladores que gestionen la comunicación entre múltiples clústeres. Además, existen consideraciones arquitectónicas y de rendimiento en torno a la ubicación de un WAF en Kubernetes. Con NGINX App Protect WAF, puede integrar el WAF con el controlador de ingreso NGINX o colocar un WAF separado frente a microservicios o aplicações específicos.

Diagrama de topología que muestra NGINX App Protect WAF implementado con un balanceador de carga frente al clúster de Kubernetes, con NGINX Ingress Controller y con pods o microservicios individuales

Ambos enfoques son excelentes, pero cada uno se adapta mejor a diferentes casos de uso. Para los desarrolladores y equipos de aplicaciones enfocados únicamente en administrar sus propias aplicações, implementar NGINX App Protect WAF en un balanceador de carga NGINX Plus frente a las aplicaciones es una solución perfecta que les brinda control y agilidad. Para los equipos de DevSecOps que desean administrar la seguridad a nivel de pod o servicio para los clústeres de Kubernetes y las aplicações que se ejecutan en ellos, ejecutar NGINX App Protect WAF en el controlador de ingreso NGINX basado en NGINX Plus es óptimo, ya que les brinda todos los beneficios del control de ingreso y la integración nativa con la API de Kubernetes.

Sin embargo, como mencionamos, configurar la comunicación entre balanceadores de carga, controladores de ingreso y WAF entre clústeres e incluso dentro de ellos es un desafío. Requiere una comprensión detallada de las redes de capa 7 y capa 4 y un ajuste constante. Dicho esto, una comunicación sólida y casi en tiempo real es esencial para mantener una postura de seguridad sólida. Con una comunicación adecuada, los WAF, los balanceadores de carga y los controladores de Ingress pueden informar rápidamente a todas las aplicações e instancias sobre nuevos ataques y compartir datos sobre el tipo de ataque, protocolos y software específicos, bloques de direcciones IP relevantes y más. La comunicación es aún más poderosa cuando se agrega aprendizaje automático (ML) para el reconocimiento rápido de patrones.

La nueva función de calificación de infracciones adaptativa en NGINX App Protect WAF

NGINX App Protect WAF contiene un completo sistema de ML que permite que los equipos de Platform Ops, DevSecOps y SecOps compartan fácilmente tendencias de ataques y datos entre todos los WAF administrados bajo NGINX Plus o NGINX Ingress Controller basado en NGINX Plus en una sola organización. Estamos trabajando en una nueva capacidad en NGINX App Protect WAF, la función de calificación de violaciones adaptativa, que aprovecha aún más el ML para mejorar el ajuste de seguridad al detectar cuándo cambia el comportamiento de un microservicio. Con esta capacidad de ML, NGINX App Protect WAF puede analizar de forma continua y automática las tendencias de ataques incluso en miles o decenas de miles de WAF ubicados en todo el mundo. Los hallazgos de este análisis se pueden usar para ajustar continuamente la postura de seguridad casi en tiempo real sin necesidad de que los desarrolladores y otros equipos de shift-left se conviertan en expertos en seguridad y modifiquen sus WAF. Mejor aún, cuanto más datos se compartan entre las instancias WAF de NGINX App Protect, más inteligentes se volverán los WAF.

Diagrama que muestra cómo funciona la función de calificación de infracciones adaptativa del WAF de NGINX App Protect

Las capacidades de ML se vuelven cada vez más importantes y valiosas a medida que las empresas amplían el uso de microservicios y se reduce la distinción entre aplicações internas y externas. Con potencialmente miles de microservicios, cada uno con su propio WAF liviano, NGINX App Protect WAF en red y habilitado para ML se convierte en el equivalente de un cerebro de seguridad vivo que vigila sus aplicaciones. Las aplicaciones modernas deben ser más inteligentes para adaptarse a los equipos que cambian de rumbo y permitirles concentrarse en el envío de código y funciones sin convertirse en expertos en seguridad. Los equipos de DevSecOps también se benefician de la tranquilidad de saber que, incluso sin ajustes manuales, todos sus WAF en todos los clústeres están en sintonía.

La comunicación es la clave. Esta es una característica fundamental que estamos desarrollando en todos nuestros productos para seguir ofreciendo la mejor tecnología posible en esta era en rápida evolución de informática distribuida masivamente y aplicaciones modernas.

Para conocer detalles y una demostración de las nuevas capacidades de ML que estamos agregando a NGINX App Protect WAF, visítenos en el stand n.° 5771 en el Salón Norte del Moscone Center en la Conferencia RSA 2022 la próxima semana en San Francisco o contáctenos .


"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.