Descripción general de la solución
Automatización de la seguridad para DevOps con F5 Advanced WAF
Applications are at the center of digital strategy among modern organizations. According to F5 Labs research, enterprise organizations manage an average of 983 applications, which often span across multiple clouds and data centers. Modern applications are generally designed with distributed architectures and built using agile development practices down to the component level. This framework for continuous integration and continuous delivery (CI/CD) enables DevOps to manage the software lifecycle with both speed and efficiency. With time to market as a primary KPI (key performance indicator), DevOps has adopted modern workflows and automation. Security, however, is often left out of the CI/CD security workflow.
La ausencia de controles de seguridad de las aplicaciones en el flujo de trabajo de DevOps significa que no se prueban junto con el código de la aplicación. Como resultado, los defectos de seguridad de las aplicaciones pueden no descubrirse hasta que se realizan las pruebas operativas al final del ciclo de desarrollo, donde la corrección de los defectos es mucho más costosa. Los impactos pueden incluir retrasos significativos en el tiempo de comercialización, mayores costes de reparación o controles de seguridad inadecuados.
Introducir las pruebas de seguridad en una fase anterior del proceso de IC/CD es la solución más eficaz para abordar la brecha entre los equipos de aplicaciones y de seguridad. El reto es hacerlo con escala y eficiencia, lo que requiere cambios tanto culturales como tecnológicos que hagan hincapié en las pruebas de seguridad operativa como parte de las fases de desarrollo de la aplicación.
F5 Advanced Web Application Firewall makes it possible to integrate operational application security testing early in the development pipeline. This allows comprehensive testing of both functional specifications and security policies early in the pipeline. The DevOps team can now discover security defects, either with the security policy or the application itself, while the application is still developing. When the team finds errors, they can perform remediation more efficiently and at a significantly reduced cost.
Características principales
- La implantación y configuración basadas en API declarativas permiten la integración en herramientas y flujos de trabajo de DevOps
- Permite a las SecOps gestionar y ofrecer seguridad como «código» utilizando archivos JSON fácilmente legibles para DevOps
- La ingesta de archivos OpenAPI permite la configuración automática de la seguridad de la API
- La integración con Webhooks (por ejemplo, Slack o Teams) permite una mayor colaboración de DevOps y capacidades de automatización avanzadas
- Posibilidad de compartir la seguridad básica entre las aplicaciones y los controles personalizados por aplicación a través de la política modular
- Posibilidad de compartir objetos de política entre políticas mediante la referencia a archivos compartidos
Beneficios clave
- Ayuda a lanzar las aplicaciones al mercado más rápidamente con un coste menor y una mayor eficacia en materia de seguridad
- Desplaza las pruebas de seguridad al inicio del proceso de desarrollo de las aplicaciones para que la corrección sea más rentable
- Cierre la brecha operativa entre SecOps y DevOps
Seguridad como código
Integrar la seguridad de las aplicaciones en el proceso de desarrollo es posible gracias al uso de API declarativas. Estos comandos de la API se pueden utilizar como parte del proceso de desarrollo automatizado para desplegar y configurar Advanced WAF. Es posible instrumentar la automatización a través de las herramientas que los equipos de DevOps ya están utilizando, como GitLab, Jenkins y Bitbucket.
Las políticas de seguridad de WAF también pueden aplicarse a las instancias de WAF existentes utilizando los mismos procesos de automatización. Las políticas de seguridad pueden definirse como un simple archivo de notación de objetos JavaScript (JSON). El archivo puede incluir un puntero al nombre y la ubicación de la política WAF, normalmente en un repositorio como GitHub.
Utilizando este marco de trabajo, el equipo de SecOps puede crear, publicar y mantener políticas de seguridad fácilmente para los equipos de desarrollo. Las políticas pueden variar en función de la aplicación. Por ejemplo, el equipo de SecOps puede tener una política base para las aplicaciones que protegen contra el OWASP Top 10, que define los riesgos de seguridad más críticos para las aplicaciones web. Se pueden publicar otras políticas para aplicaciones que requieren controles adicionales, que podrían incluir aplicaciones que manejan datos sensibles o realizan transacciones financieras. El equipo de desarrollo usa estas políticas, al igual que otras partes de código de la aplicación.
Figure 1: Las organizaciones pueden utilizar las API declarativas para integrar la seguridad de las aplicaciones en el proceso de desarrollo automatizado para desplegar y configurar Advanced WAF.
Los cambios en el «código» de seguridad se integran, aplican, prueban y construyen automáticamente mediante el conjunto de herramientas de automatización del proceso de IC/CD. Este enfoque desplaza los controles de seguridad al inicio del proceso de IC/CD, lo que permite que la seguridad sea una responsabilidad compartida en todo el proceso. Al igual que con cualquier otra parte de la aplicación, esto garantiza la aplicación consistente de la seguridad en todas las etapas del ciclo de vida del desarrollo: desarrollo, pruebas, control de calidad y producción.
Los equipos multifuncionales de DevSecOps pueden utilizar capacidades adicionales de integración de ChatOps (por ejemplo, Slack) para aumentar su eficiencia y asegurarse de que siempre están en sintonía. Sin embargo, las ChatOps pueden ser mucho más que mensajería y alertas. Cuando se integra con las herramientas de canalización, las ChatOps pueden proporcionar el progreso de DevOps en tiempo real e incluso iniciar acciones de canalización, como las actualizaciones de la política de Advanced WAF.
CONCLUSIÓN
Más información sobre Advanced WAF:
- Visit F5 Advanced WAF
- Visit the F5 Web App and API Protection webpage
- Learn more about F5 Automation and orchestration toolchain
- Join the F5 technical community