Sécurisez vos clusters Kubernetes avec le nouveau Machine Learning dans NGINX App Protect WAF

Les équipes d’application modernes sont de plus en plus conscientes de l’importance et des avantages du « déplacement de la sécurité vers la gauche », c’est-à-dire de l’intégration des contrôles de sécurité dès le début du cycle de développement et de déploiement des applications. Dans un monde de shift-left, chaque équipe choisit les solutions et les paramètres de sécurité les mieux adaptés à son application. C'est bien sûr raisonnable ; chez NGINX, nous préconisons d'avoir une équipe Platform Ops qui donne aux développeurs « le choix avec des garde-fous » en sélectionnant activement un ensemble approprié de solutions de sécurité. Les développeurs sont ensuite chargés de configurer la sécurité de leurs applications, ce qui inclut généralement le déploiement d’un pare-feu d’application Web (WAF), même pour les applications internes et les microservices.

Mais le déplacement vers la gauche devient beaucoup plus compliqué dans Kubernetes – le moteur d'orchestration de conteneurs standard de facto pour les équipes d'applications modernes – les communications et la coordination en particulier présentant de gros défis. Demander aux développeurs de gérer la communication entre plusieurs clusters n’est pas réaliste. De plus, il existe des considérations d’architecture et de performances autour du placement d’un WAF dans Kubernetes. Avec NGINX App Protect WAF, vous pouvez soit intégrer le WAF au contrôleur d'entrée NGINX, soit placer un WAF distinct devant des microservices ou des applications spécifiques.

Les deux approches sont excellentes, mais chacune d’entre elles convient mieux à différents cas d’utilisation. Pour les développeurs et les équipes d'applications qui se concentrent uniquement sur la gestion de leurs propres applications, le déploiement de NGINX App Protect WAF sur un équilibreur de charge NGINX Plus devant les applications est une solution parfaite qui leur donne contrôle et agilité. Pour les équipes DevSecOps qui souhaitent gérer la sécurité au niveau du pod ou du service pour les clusters Kubernetes et les applications qui y sont exécutées, l'exécution de NGINX App Protect WAF sur le contrôleur d'entrée NGINX basé sur NGINX Plus est optimale, leur offrant tous les avantages du contrôle d'entrée et de l'intégration native avec l'API Kubernetes.

Cependant, comme nous l’avons mentionné, la configuration de la communication entre les équilibreurs de charge, les contrôleurs d’entrée et les WAF entre les clusters et même au sein des clusters est un défi. Cela nécessite une compréhension détaillée des réseaux de couche 7 et de couche 4 et un réglage constant. Cela dit, une communication robuste et en temps quasi réel est essentielle pour maintenir une posture de sécurité solide. Avec une communication appropriée, les WAF, les équilibreurs de charge et les contrôleurs d'entrée peuvent rapidement informer toutes les applications et instances des nouvelles attaques et partager des données sur le type d'attaque, les protocoles et logiciels ciblés, les blocs d'adresses IP pertinents, etc. La communication est encore plus puissante lorsque l’apprentissage automatique (ML) est ajouté pour une reconnaissance rapide des modèles.

La nouvelle fonctionnalité d'évaluation adaptative des violations dans NGINX App Protect WAF

NGINX App Protect WAF contient un système ML riche qui permet aux équipes Platform Ops, DevSecOps et SecOps de partager facilement les tendances et les données d'attaque sur tous les WAF gérés sous NGINX Plus ou le contrôleur d'entrée NGINX basé sur NGINX Plus dans une seule organisation. Nous travaillons sur une nouvelle fonctionnalité dans NGINX App Protect WAF, la fonctionnalité Adaptive Violation Rating, qui exploite davantage le ML pour améliorer le réglage de la sécurité en détectant quand le comportement d'un microservice change. Grâce à cette capacité ML, NGINX App Protect WAF peut analyser en continu et automatiquement les tendances d’attaque, même sur des milliers ou des dizaines de milliers de WAF situés dans le monde entier. Les résultats de cette analyse peuvent être utilisés pour ajuster en continu la posture de sécurité en temps quasi réel sans nécessiter que les développeurs et autres équipes de shift-left deviennent des experts en sécurité et modifient leurs WAF. Mieux encore, plus les données partagées entre les instances NGINX App Protect WAF sont nombreuses, plus les WAF deviennent intelligents.

Les capacités ML deviennent de plus en plus importantes et précieuses à mesure que les entreprises développent l’utilisation des microservices et que la distinction entre les applications internes et externes se réduit. Avec potentiellement des milliers de microservices, chacun disposant de son propre WAF léger, en réseau et compatible ML, NGINX App Protect WAF devient l'équivalent d'un cerveau de sécurité vivant qui surveille vos applications. Les applications modernes doivent être plus intelligentes pour s’adapter aux équipes shift-left et leur permettre de rester concentrées sur le développement de code et de fonctionnalités sans devenir des experts en sécurité. Les équipes DevSecOps bénéficient également de la tranquillité d’esprit de savoir que même sans réglage manuel, tous vos WAF sur tous les clusters sont sur la même longueur d’onde.

La communication est la clé. Il s’agit d’une fonctionnalité essentielle que nous intégrons à tous nos produits pour continuer à offrir la meilleure technologie possible à l’ère de l’informatique massivement distribuée et des applications modernes, qui évolue rapidement.

Pour plus de détails et une démonstration des nouvelles fonctionnalités ML que nous ajoutons à NGINX App Protect WAF, venez nous voir au stand n° 5771 dans le hall nord du Moscone Center lors de la conférence RSA 2022 la semaine prochaine à San Francisco ou contactez-nous .