Intégration des stratégies F5 et NGINX WAF dans Controller App Security
Depuis que NGINX a rejoint F5 il y a deux ans, l’un des avantages les plus significatifs pour nos clients a été l’intégration de l’expertise de sécurité de pointe de F5 dans les produits NGINX. F5 NGINX App Protect WAF et F5 NGINX Controller App Security exploitent la même technologie de pare-feu d'application Web (WAF) que F5 Advanced WAF , F5 Silverline WAF et d'autres solutions de sécurité F5. Bien que chaque produit ait un format différent pour prendre en charge des environnements, des scénarios de déploiement et des cas d’utilisation de gestion particuliers, les clients peuvent être sûrs que le même moteur de sécurité connu et fiable les protège contre les attaques Web les plus avancées.
La technologie WAF partagée signifie également que les clients F5 peuvent conserver les politiques standardisées déjà approuvées par leurs équipes de sécurité lorsqu'ils migrent d'un environnement traditionnel qui utilise un produit comme F5 Advanced WAF vers des environnements conteneurisés et cloud, où NGINX App Protect WAF est mieux adapté. La portabilité des politiques WAF entre les produits permet aux clients F5 et NGINX de garantir rapidement et facilement une posture de sécurité solide, cohérente et conforme.
Lorsque nous avons introduit NGINX Controller App Security pour le module de distribution d'applications, il était accompagné d'une politique par défaut axée sur la protection contre les 10 principales menaces de l'OWASP et d'autres menaces, avec un minimum de faux positifs. Avec Controller App Security pour la version 3.20 du module Application Delivery, vous pouvez désormais importer vos politiques WAF NGINX App Protect personnalisées et les distribuer sur tous vos déploiements gérés. Nous appelons cela la politique Bring Your Own NGINX App Protect WAF (politique BYO App Protect).
Pour en savoir plus, lisez la suite et regardez cette présentation vidéo :
Maintenir des politiques WAF cohérentes tout au long du parcours de modernisation des applications
Bon nombre de nos clients disposant d’environnements de distribution d’applications traditionnels commencent par utiliser F5 Advanced WAF ou BIG-IP ASM. À mesure qu'ils progressent dans leur parcours de modernisation des applications, ils peuvent tirer parti de NGINX App Protect et de NGINX Controller App Security pour les nouvelles applications qui nécessitent une approche alignée sur DevOps pour le déploiement des services WAF.
À lui seul, NGINX App Protect WAF sécurise les applications modernes avec des fonctionnalités allant de la défense contre le Top Ten de l'OWASP et d'autres menaces avancées à la définition simplifiée et déclarative des politiques. L'adoption de Controller App Security pour gérer les instances NGINX App Protect WAF présente des avantages supplémentaires :
- Les équipes de sécurité bénéficient d’une visibilité améliorée et prête à l’emploi et peuvent fournir aux équipes de développement et de DevOps des politiques WAF approuvées ainsi qu’un provisionnement et une gestion en libre-service des instances WAF NGINX App Protect. Mieux encore, une seule instance de contrôleur peut prendre en charge plusieurs équipes.
- Les équipes de développement et DevOps peuvent utiliser l’API du contrôleur et l’interface graphique qu’elles connaissent déjà pour appliquer les politiques WAF approuvées à leurs applications, sans avoir besoin d’une compréhension approfondie des politiques ou de la configuration des instances WAF NGINX App Protect qui appliquent les politiques sur le plan de données.
Préparation des politiques F5 WAF pour la sécurité des applications du contrôleur
Pour vous aider à maintenir des politiques cohérentes sur toutes les implémentations F5 et NGINX WAF à mesure que vous progressez dans votre parcours de modernisation des applications, nous fournissons le convertisseur de politiques NGINX App Protect . Il traduit les politiques WAF avancées F5 (formatées en XML) en politiques WAF NGINX App Protect (formatées en JSON). Vous pouvez ensuite transmettre les politiques converties à Controller App Security comme décrit dans la section suivante .
Voici les étapes à suivre pour traduire une politique WAF avancée F5 en une politique WAF NGINX App Protect, avec des liens vers les instructions.
- Téléchargez et installez l'image Docker pour NGINX App Protect Policy Converter.
- Exportez la politique WAF avancée F5 (les instructions font référence aux « politiques de sécurité BIG‑IP ASM » mais s’appliquent également aux politiques WAF avancées F5).
- Convertissez la politique en une politique WAF NGINX App Protect au format JSON.
Intégrer vos politiques WAF NGINX App Protect à Controller App Security
Avec Controller App Security pour la version 3.20 du module de distribution d'applications, vous pouvez utiliser le processus BYO App Protect Policy pour intégrer les stratégies WAF NGINX App Protect et les distribuer sur toutes vos instances NGINX App Protect gérées. La politique WAF NGINX App Protect peut être native ou une politique que vous avez convertie à partir de F5 Advanced WAF comme décrit dans la section précédente .
Le processus BYO App Protect Policy utilise un objet Controller appelé Security Strategy , un conteneur logique pour les stratégies liées à la sécurité, y compris les stratégies WAF NGINX App Protect personnalisées. Vous référencez ensuite la stratégie de sécurité dans une application pour appliquer la politique WAF associée à l'application.
Pour plus d'informations sur le processus de politique de protection des applications BYO, consultez la documentation du produit .
Consultez les instructions dans les sections suivantes pour l’interface de votre choix :
Une fois les étapes terminées, les mises à jour d’une stratégie WAF intégrées dans Controller App Security à l’aide du processus BYO App Protect Policy se propagent automatiquement à tous les composants d’application qui référencent la stratégie de sécurité associée.
Avec Controller App Security pour la version 3.20 du module de distribution d'applications, seules les stratégies WAF définies dans un seul fichier sont prises en charge. La prise en charge des politiques WAF utilisant des références externes (politiques WAF représentées par plusieurs fichiers) est prévue pour une future version.
Utilisation de l'API
Procédez comme suit pour intégrer une stratégie WAF dans Controller App Security à l’aide de l’API Controller :
Transmettez la politique WAF NGINX App Protect avec une requête
PUTau point de terminaison de la politique de sécurité :https://{{CONTROLLER_FQDN}}/api/v1/security/policies/{{policy}}avec un objet JSON similaire au suivant :
{ "métadonnées": { "nom": "lowriskapppolicy", "displayName": « Politique de protection des applications à faible risque », « description » : "Politique WAF d'entreprise pour les applications internes à faible risque", }, "desiredState": { "content": { "policy": { "name": "lowriskapppolicy", "template": { "name": "POLICY_TEMPLATE_NGINX_BASE" }, "applicationLanguage": "utf-8", "enforcementMode": "blocage", "signatures": [ { "signatureId": 123458888, "activé" : false }, { "signatureId" : 304500123, "activé": faux } ], } } } }Créez une stratégie de sécurité qui fait référence à la politique WAF avec une requête
PUTau point de terminaison des stratégies de sécurité :https://{{CONTROLLER_FQDN}}/api/v1/security/strategies/{{strategie}}avec un objet JSON similaire au suivant :
{ "métadonnées": { "nom": "stratégie à faible risque", "displayName": « Stratégie d'application à faible risque », « description » : "Stratégie d'entreprise pour les applications internes à faible risque", }, "desiredState": { "content": { "securityPolicyRef": "/security/policies/lowriskapppolicy" } } }Appliquez la politique WAF à un composant d'application (tel qu'un URI d'application d'une application) pour référencer la stratégie de sécurité avec une requête
PUTouPOSTau point de terminaison du composant d'application :https://{{Controller_FQDN}}/api/v1/services/environments/{{env}}/apps/{{app}}/components/{{component}}avec un objet JSON similaire au suivant :
{ "metadata": { "name": "main" }, "desiredState": { "ingress": { "uris": { "/": { } }, . . . "security": { "strategyRef": { "ref": "/security/strategies/lowriskstrategy" }, "waf": { "isEnabled": true } }, . . . }
Utilisation de l'interface graphique
Procédez comme suit pour importer et appliquer une stratégie WAF dans Controller App Security à l'aide de l'interface graphique du contrôleur :
Créez une stratégie de sécurité sur la page Créer une stratégie de sécurité .
Si la politique WAF NGINX App Protect est déjà disponible dans Controller, sélectionnez-la dans le menu déroulant du champ Politique .
S'il n'est pas déjà répertorié, cliquez sur + CRÉER NOUVEAU . Dans la fenêtre contextuelle Créer une politique de sécurité qui s’affiche, téléchargez un fichier contenant la politique WAF NGINX App Protect au format JSON.
Sur la page Modifier le composant d’application de l’application à laquelle vous appliquez la stratégie WAF, sélectionnez la stratégie de sécurité associée.
Partage des politiques au sein du contrôleur NGINX
Une fois que vous avez importé une stratégie dans Controller App Security à l’aide du processus BYO App Protect Policy, elle peut être partagée entre toutes les applications définies dans Controller, même si elles sont gérées par des équipes différentes. Le fait que plusieurs composants d’application de contrôleur (ou sous-composants d’une application tels que des URI) référencent les mêmes politiques permet de standardiser votre posture de sécurité sur de nombreuses applications et API.
Le contrôleur centralise la gestion et le contrôle des versions des politiques WAF. Lorsque vous publiez une nouvelle version d'une stratégie, elle est mise à jour sur tous les composants de l'application Controller qui y font référence, ce qui simplifie considérablement les opérations.
Résumé
La plateforme technologique F5 WAF permet la portabilité et la réutilisation des mêmes politiques de protection WAF pour une posture de sécurité standardisée sur toutes les applications. Cette philosophie de conception permet également de prendre en charge tous vos cas d'utilisation protégés par les solutions F5 et NGINX WAF, rendant la gestion et le déploiement de la sécurité des applications plus rapides, plus faciles et plus reproductibles.
Avec la fonctionnalité BYO App Protect Policy de Controller App Security (disponible dans Controller ADM 3.20), vous pouvez désormais utiliser vos stratégies WAF NGINX App Protect personnalisées, ce qui facilite la protection des nouvelles applications avec des stratégies robustes, cohérentes et éprouvées créées à l'aide de NGINX App Protect WAF ou F5 Advanced WAF. Mieux encore, avec BYO App Protect Policy et Controller App Security, une seule politique approuvée peut être appliquée à de nombreuses applications, simplifiant et rationalisant considérablement les processus de changement de politique.
NGINX Controller continue de permettre aux équipes de sécurité de fournir la sécurité dans un modèle de libre-service à leurs équipes d'application, offrant ainsi aux organisations à la fois productivité et sécurité.
Vous souhaitez essayer vous-même NGINX Controller App Security ? Commencez votre essai gratuit de 30 jours du contrôleur NGINX dès aujourd'hui ou contactez-nous pour discuter de vos cas d'utilisation .
« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."