BLOG | NGINX

NGINX App Protect WAFの新しい機械学習機能でKubernetesクラスタを保護する

NGINX-Part-of-F5-horiz-black-type-RGB
Thelen Blum サムネール
Thelen Blum
Published June 02, 2022
Yaniv Sazman サムネール
Yaniv Sazman
Published June 02, 2022

最新のアプリケーションチームは、「セキュリティのシフトレフト」、つまりアプリケーションの開発と導入サイクルの早い段階でセキュリティ制御を取り入れることの重要性と利点をますます強く認識しています。シフトレフトの世界では、各チームがそのアプリケーションに最適なセキュリティソリューションとパラメータを選択します。もちろんこれは理にかなったことです。NGINXでは、Platform Opsチームが適切なセキュリティソリューションのセットを積極的に管理して、開発者に「ガードレール付きの選択肢」を提供することを提唱しています。開発者は、自身のアプリのセキュリティを設定します。ここでは一般的に、内部向けのアプリケーションやマイクロサービスであっても、Webアプリケーションファイアウォール(WAF)が導入されます。

しかし、最新のアプリチームにとっての事実上の標準コンテナオーケストレーションエンジンであるKubernetesでは、シフトレフトはより複雑であり、特に通信と調整が大きな課題となっています。開発者に対して複数のクラスタ間での通信を管理するよう求めることは現実的ではありません。また、KubernetesにWAFを配置する場合には、アーキテクチャやパフォーマンスに対する考慮が必要です。NGINX App Protect WAFでは、WAFをNGINX Ingress Controllerと統合するか、別のWAFを特定のマイクロサービスやアプリケーションの前に配置できます。

Topology diagram showing NGINX App Protect WAF deployed in with a load balancer in front of the Kubernetes cluster, with NGINX Ingress Controller, and with individual pods or microservices

どちらも素晴らしいアプローチですが、最適なユースケースはそれぞれ異なります。開発者やアプリチームが自身のアプリケーションだけを管理したい場合、それらのアプリの前にあるNGINX Plusロードバランサー上にNGINX App Protect WAFを導入すると、制御と俊敏性を最適に実現できます。DevSecOpsチームがKubernetesクラスタとその中で稼働するアプリケーションのセキュリティをポッドレベルやサービスレベルで管理したい場合、NGINX App Protect WAFをNGINX PlusベースのNGINX Ingress Controller上で実行すると、Ingress制御とKubernetes APIとのネイティブ統合がもたらすすべての利点を活かすことができ、最適です。

しかし、前述のように、クラスタ間において、さらにはクラスタ内でも、ロードバランサー、Ingressコントローラー、WAF間の通信を設定することは困難です。レイヤー7とレイヤー4のネットワーキングを詳細に理解し、定期的に調整する必要があります。とはいえ、堅牢でほぼリアルタイムの通信は、強力なセキュリティ体制を維持するために不可欠です。適切に通信できれば、WAF、ロードバランサー、Ingressコントローラーは、すべてのアプリケーションとインスタンスに新しい攻撃を迅速に通知し、攻撃の種類、標的となるプロトコルとソフトウェア、関連するIPアドレスブロックなどのデータを共有できます。さらに、機械学習(ML)を追加して迅速なパターン認識を実現すれば、通信はより強力になります。

NGINX App Protect WAFの新機能Adaptive Violation Rating(適応型違反評価)について

NGINX App Protect WAFには豊富なMLシステムが搭載されています。これにより、Platform Ops、DevSecOpsおよびSecOpsチームは、1つの組織のNGINX PlusまたはNGINX PlusベースのNGINX Ingress Controllerで管理されるすべてのWAFで攻撃傾向やデータを簡単に共有できます。私たちは現在、NGINX App Protect WAFの新機能であるAdaptive Violation Ratingに取り組んでいます。これは、MLをさらに活用して、マイクロサービスの挙動の変化を検知することで、セキュリティ調整を向上させる機能です。このML機能により、NGINX App Protect WAFは、数千、数万のWAFが世界中に配置されていても、それらの全体で攻撃傾向を継続的かつ自動的に分析できます。この分析結果は、ほぼリアルタイムでのセキュリティ体制の継続的な調整に使用されます。開発者などのシフトレフトのチームがセキュリティの専門家としてWAFに向き合う必要はありません。さらに良いことに、NGINX App Protect WAFインスタンス間で共有されるデータが多くなるほど、WAFはよりインテリジェントになります。

Diagram showing how NGINX App Protect WAF Adaptive Violation Rating feature works

企業のマイクロサービス利用が拡大し、内部と外部のアプリケーションの区別が薄くなるにつれて、ML機能の重要性と価値はますます高まります。マイクロサービスはそれぞれに独自の軽量WAFが導入され数千存在する可能性もあり、ネットワーク化され、MLに対応したNGINX App Protect WAFは、アプリをモニタリングする生きたセキュリティ頭脳と同等の役割を果たします。最新のアプリは、シフトレフトチームに適応し、チームがセキュリティに従事することなくコードと機能の出荷に集中できるように、よりスマートでなければなりません。これはDevSecOpsチームにとっての利点でもあり、すべてのクラスタ内のすべてのWAFが手動調整なく同じページにあることに安心できます。

鍵となるのは通信です。これは、大規模に分散したコンピューティングと最新のアプリが急速に進化する今の時代において、最高の技術を提供し続けるために私たちがすべての製品で構築している核となる機能です。

NGINX App Protect WAFに追加される新しいML機能の詳細とデモについては弊社までお問い合わせください。


"This blog post may reference products that are no longer available and/or no longer supported. For the most current information about available F5 NGINX products and solutions, explore our NGINX product family. NGINX is now part of F5. All previous NGINX.com links will redirect to similar NGINX content on F5.com."