F5 NGINXによるOpen Source Subscriptionの発表
NGINX Open Sourceが多くのサイトで使われていることをすでにご存じかと思います。無料であること(それも嬉しい点ではあるのですが!)だけがその理由ではありません。NGINX Open Sourceが人気なのは、安定性が高く、軽量で、開発者の「スイスアーミーナイフ(Swiss Army Knife™)」的存在であることが広く受け入れられているからです。
Webサーバー、リバースプロキシ、APIゲートウェイ、Ingressコントローラー、キャッシュのどれが必要な場合であっても、NGINX(非常に軽量で、フロッピーディスクからインストールできます)であれば簡単に実現できます。ですが、NGINX Open Sourceのユーザーの皆さんから足りないと言われていたものが、実は1つあります。それは、エンタープライズサポートです。私達は、今回新しいOpen Source Subscriptionでこのサポートを発表できるのを何より楽しみにしていました。
Open Source Subscriptionとは何か?
Open Source Subscriptionは、以下の要素で構成される新しいバンドルサービスです。
- エンタープライズサポート: 信頼できるサポートを確保することで、難しい要件への対応を実現していくことができます。
- エンタープライズ機能: トラフィック管理とID管理のさまざまなユースケースに対応します。
- フリート管理: NGINXの管理が簡素化され、リスクと混乱の緩和につながります。
NGINX Open Sourceのエンタープライズサポート
NGINX Open Sourceは信頼性に定評があり、コミュニティによってすばらしいサポートが提供されています。しかし、それだけでは十分でない場合もあります。Open Source Subscriptionにより、NGINX Open Sourceに次のようなエンタープライズサポートが追加されます。
- 営業時間内と24/7のどちらかを選べるSLAのオプション
- セキュリティパッチとバグ修正
- セキュリティ通知
- デバッグとエラー修正
- ドキュメンテーションの矛盾点の解明
次に、エンタープライズサポートを受けられることの利点について見てみることにしましょう。
タイムリーなパッチ適用と修正
あらゆるオープンソースソフトウェア(OSS)に共通する脆弱性として、共通脆弱性識別子(CVE)やバグへの対応に時間がかかる点があります。実際、NGINX Open Sourceの開発者達はこれまでパッチの適用に数週間から、場合によっては数か月かかっていました。たとえば、F5は2022年10月19日にCVE-2022-41741とCVE-2022-41742への修正を発表しましたが、対応するUbuntuとDebianのパッチが公開されたのは、2022年11月15日のことでした。
Open Source Subscriptionをご利用のお客様は、パッチや修正、CVEの事前通知のほか、以下に即時にアクセスすることができます。
- 最新のメインラインリリースと安定版リリースのセキュリティパッチ
- 最新のメインラインリリースの重要なバグ修正
- 最新版または将来のメインラインリリースの重要度の低いバグ修正
規制コンプライアンス
ソフトウェアサプライチェーンの問題を気にかける企業や政府が増えており、その多くがソフトウェア部品表(SBOM)の作成慣行を忠実に守っています。SBOMという概念の成熟度が増すにつれ、「合理的に正当化された規則的周期」でパッチを適用しつつ、通常のパッチサイクル以外で見つかった深刻な脆弱性にはタイムリーにパッチを適用するよう、規制当局から要求されるようになってきています。
Open Source Subscriptionでは、特にセキュリティの面で、デューデリジェンス、トレーサビリティ、および関連する規制への準拠を示すことにより、NGINX Open Sourceのインスタンスが組織のOSSソフトウェア要件を満たしていることを確認できるようになっています。
機密保持
しっかりとしたサポートを受けるには、設定ファイルを共有する必要があります。しかし、コミュニティメンバー間やフォーラム内で構成を共有している場合、組織はセキュリティ脆弱性(場合によっては侵害)にさらされていることになります。Stack Overflow上で単純なNGINXコードを1つ共有しているだけでも、アプリやアーキテクチャを悪用するための情報を悪質行為者に与えてしまう可能性があります。
Open Source Subscriptionでは、お客様がF5のセキュリティ専門家のチームに直接アクセスして、設定の機密性を確認できるようになっています。詳しくは、NGINX Open Sourceのサポートポリシーをご覧ください。
注:Open Source Subscriptionには、NGINXから直接インストールしたNGINX Open Sourceの安定版とメインライン版のLinuxパッケージのサポートが含まれます。現在、他のベンダーによるパッケージのサポートについては、対応検討中です。具体的には担当者までご相談ください。
NGINX Plusへの自動アクセスによるエンタープライズ機能
Open Source Subscriptionでは、NGINX Open Sourceへのサポートのほか、追加料金なしでNGINX Plusをご利用いただけます。サブスクリプションでは、ビジネスニーズに応じて、NGINX Open SourceとNGINX Plusのどちらを、いつ使用するのかを選択できます。
NGINX Open Sourceは、多くのアプリ配信のユースケースに最適の選択肢であり、特にWebサービスや、コンテンツキャッシング、基本的なトラフィック管理で高い効果を発揮します。NGINX Open Sourceの使用を他のユースケースにまで広げることもできますが、安定性や遅延の問題が生じる可能性があります。たとえば、Luaスクリプトを使ってエンドポイントの変更を検出するというのはよく行われることです(Luaハンドラーにより、リクエストの転送先である上流サービスが選択されるため、NGINX構成をリロードする必要がありません)。しかし、Luaが継続的に変更を確認しなければならず、リソースを消費することから、受信リクエストの処理にかかる時間が長くなってしまいます。これはタイムアウトの原因になるだけでなく、複雑さやリソースコストの上昇にもつながります。
NGINX Plusは高度なユースケースに対応し、ロードバランシング、APIゲートウェイ、Ingressコントローラーなど、設定なしですぐに使える複数の機能を提供します。多くのお客様が、稼働率、可用性、セキュリティ、ID管理に関する厳しい要件を持つビジネスクリティカルなアプリやAPIのケースでNGINX Plusを選択しています。
稼働率と可用性を大規模に確保
スケールアップに伴い発生する問題の影響は、社内外どちらのケースにおいても大きく直接影響します。そのため、ミッションクリティカルなアプリとAPIでは稼働率と可用性が非常に重要になってきます。
NGINX Plusでは、以下の機能が実現できます。
- セッションパーシステンス、高可用性、アクティブヘルスチェックにより、遅延と停止を削減
- 動的再構成を利用して、リロードなしで構成を更新
- リアルタイムモニタリング、ネイティブのOpenTelemetry、および好みのモニタリングツールにエクスポート可能なその他のメトリクス100種類以上を使って、問題のトラブルシューティングを容易に実行
- レート制限などのAPIゲートウェイのユースケースを実行
セキュリティとID管理を強化
非機能的な要件をトラフィック管理戦略に組み込むことで、それらの要件をアプリからオフロードできます。これにより、エラーが減り、その分、開発者はコア要件に集中して取り組むことができます。
NGINX Plusでは、以下の方法によりセキュリティを強化できます。
- JWT認証、OpenID Connect (OIDC)、SAMLを使用して、ロードバランサー、APIゲートウェイ、Ingressコントローラーでの認証と認可を一元化
- SSL/TLSオフロードとSSLターミネーションにより、エンドツーエンドの暗号化と証明書管理を実行
- FIPS 140-2を有効にして、全てのSSL/TLSトラフィックとHTTP/2トラフィックを処理
- 消費者のクレジットカード番号やその他の個人データを保護するために、PCI DDSのベストプラクティスを実行
- レイヤー7 WAFとサービス拒否(DoS)攻撃対策のためにNGINX App Protectを追加
Instance Managerによるフリート管理
NGINXフリートを大規模に管理することは、かならずしも容易ではありません。NGINX Open Sourceの場合、組織内に数百(場合によっては数千)のインスタンスが存在する可能性があり、CVE、構成の問題、および期限切れ証明書に関連するさまざまな複雑さとリスクが生じることになりかねません。そのため、Open Source SubscriptionにはNGINX Management Suite Instance Managerが搭載されており、NGINX Open Source、NGINX Plus、NGINX App Protect WAFの全てのインスタンスのインベントリを一元化し、NGINXフリートの設定、保護、監視を容易に実行できるようになっています。
NGINXの資産を把握
Instance Managerを使って、Kubernetesを含むあらゆる環境のインスタンスの正確な数を把握できます。Instance Managerにより、以下のことが可能になります。
- インスタンスのインベントリを作成して、CVEにさらされる可能性のあるソフトウェアバージョンを検出
- 構成の問題を把握し、ベストプラクティスの推奨事項を利用した組み込みエディターにより、それらの問題を解決
- Security Monitoringにより、保護についてのインサイトを視覚化して、発生する可能性のある脅威を分析し、WAFポリシーの調整の機会を特定
証明書の管理
期限切れの証明書は、侵害の原因として広く知られるようになっています。Instance Managerを使うことで、NGINXのインスタンスとクライアント間の安全な通信を確保できます。Instance Managerでは、(期限切れの証明書を見つけて、更新することなどにより)全てのインスタンスでSSL/TLS証明書を追跡、管理、展開し、暗号化キーを定期的に(キーが侵害されたときはいつでも)別のものにローテーションできます。
シンプルな可視化
NGINXインスタンスからは驚くほど多くのデータを取得できます。それらのデータやサードパーティツールをお客様に最大限に活用してもらうために、Instance Managerはイベントとメトリクスのデータを提供します。これらのデータを使って、貴重なNGINXメトリクスを収集したうえで、API経由で、一般的に使われているモニタリング、可視化、アラートのツールにそれらを転送できるようになっています。さらには、NGINX App Protectが追加された場合などに、アプリとAPIの保護について、選りすぐられた独自の洞察を得ることができます。
Open Source Subscriptionを使ってみる
新しいOpen Source Subscriptionを使ってみたいという方は、今すぐこちらからお問い合わせいただき、ユースケースについてご相談ください。
NGINX Plusで対応可能なユースケースについて、以下で詳しく解説しています。
- NGINXとNGINX Plusの機能比較
- アクティブとパッシブのヘルスチェック:御社に合っているのはどちらでしょう?(英語)
- PrometheusとGrafanaでNGINX Plusを可視化する方法
- NGINXをAPIゲートウェイとして導入(英語)
- JWTとNGINX PlusによるAPIクライアントの認証(英語)
- NGINX PlusによるFIPSへの準拠(英語)
NGINX Management Suite Instance Managerの詳細については以下をご覧ください:
"This blog post may reference products that are no longer available and/or no longer supported. For the most current information about available F5 NGINX products and solutions, explore our NGINX product family. NGINX is now part of F5. All previous NGINX.com links will redirect to similar NGINX content on F5.com."