ブログ | NGINX

NGINX App Protect WAF の新しい機械学習で Kubernetes クラスターを保護

NGINX-F5 水平黒タイプ RGB の一部
テレン・ブルーム サムネイル
テレン・ブルム
2022年6月2日公開
ヤニフ・サズマン サムネイル
ヤニフ・サズマン
2022年6月2日公開

現代のアプリケーション チームは、「セキュリティのシフト レフト」、つまりアプリケーションの開発および展開サイクルの早い段階でセキュリティ制御を組み込むことの重要性と利点をますます認識するようになっています。 シフトレフトの世界では、各チームが自社のアプリケーションに最適なセキュリティ ソリューションとパラメータを選択します。 もちろん、これは理にかなっています。NGINX では、適切なセキュリティ ソリューション セットを積極的にキュレートすることで、開発者に「ガードレール付きの選択肢」を提供するプラットフォーム オペレーション チームを設置することを推奨しています。 次に、開発者はアプリのセキュリティを構成する必要があります。これには通常、内部向けアプリケーションやマイクロサービスであっても、Web アプリケーション ファイアウォール (WAF) の導入が含まれます。

しかし、現代のアプリチームにとって事実上の標準コンテナ オーケストレーション エンジンである Kubernetes では、シフトレフトがはるかに複雑になり、特に通信と調整が大きな課題となります。 開発者に複数のクラスター間の通信の管理を依頼するのは現実的ではありません。 さらに、Kubernetes に WAF を配置する場合は、アーキテクチャとパフォーマンスに関する考慮事項があります。 NGINX App Protect WAF を使用すると、WAF を NGINX Ingress Controller と統合するか、特定のマイクロサービスまたはアプリケーションの前に別の WAF を配置することができます。

Kubernetes クラスターの前にロードバランサー、NGINX Ingress コントローラー、および個々のポッドまたはマイクロサービスを使用してデプロイされた NGINX App Protect WAF を示すトポロジー図

どちらのアプローチも優れていますが、それぞれ最適なユースケースが異なります。 独自のアプリケーションのみを管理することに重点を置いている開発者やアプリ チームにとって、アプリの前の NGINX Plus ロード バランサーに NGINX App Protect WAF を導入することは、制御と俊敏性を実現する完璧なソリューションです。 Kubernetes クラスターとその中で実行されているアプリケーションのポッドまたはサービス レベルでセキュリティを管理したい DevSecOps チームにとって、NGINX Plus に基づく NGINX Ingress コントローラーで NGINX App Protect WAF を実行することが最適であり、Ingress 制御と Kubernetes API とのネイティブ統合のすべての利点が得られます。

ただし、前述したように、クラスター間、さらにはクラスター内でも、ロードバランサー、Ingress コントローラー、WAF 間の通信を設定するのは困難です。 レイヤー 7 およびレイヤー 4 ネットワークの詳細な理解と継続的な調整が必要です。 とはいえ、強力なセキュリティ体制を維持するには、堅牢でほぼリアルタイムの通信が不可欠です。 適切な通信により、WAF、ロード バランサ、Ingress コントローラは、新しい攻撃についてすべてのアプリケーションとインスタンスに迅速に通知し、攻撃の種類、対象となるプロトコルとソフトウェア、関連する IP アドレス ブロックなどに関するデータを共有できます。 迅速なパターン認識のために機械学習 (ML) が追加されると、コミュニケーションはさらに強力になります。

NGINX App Protect WAF の新しい適応型違反評価機能

NGINX App Protect WAF には豊富な ML システムが含まれており、Platform Ops、DevSecOps、SecOps の各チームが、単一の組織内で NGINX Plus または NGINX Plus に基づく NGINX Ingress Controller で管理されているすべての WAF にわたって攻撃の傾向とデータを簡単に共有できます。 私たちは、NGINX App Protect WAF の新しい機能である Adaptive Violation Rating 機能に取り組んでいます。この機能は、ML をさらに活用して、マイクロサービスの動作が変わったことを検出することで、セキュリティ チューニングを改善します。 この ML 機能により、NGINX App Protect WAF は、世界中に配置されている数千または数万の WAF 全体にわたっても、攻撃の傾向を継続的かつ自動的に分析できます。 この分析の結果を使用すると、開発者やその他のシフトレフトチームがセキュリティの専門家になって WAF を操作する必要なく、ほぼリアルタイムでセキュリティ体制を継続的に調整できます。 さらに良いことに、NGINX App Protect WAF インスタンス間で共有されるデータが増えるほど、WAF はよりインテリジェントになります。

NGINX App Protect WAF Adaptive Violation Rating 機能の仕組みを示す図

企業がマイクロサービスの利用を拡大し、内部アプリケーションと外部アプリケーションの区別が狭まるにつれて、ML 機能はますます重要かつ価値あるものになります。 潜在的に数千のマイクロサービスがあり、それぞれに独自の軽量 WAF がある場合、ネットワーク化された ML 対応の NGINX App Protect WAF は、アプリを監視する生きたセキュリティ ブレインと同等の機能を果たします。 最新のアプリは、シフトレフトチームに対応し、セキュリティの専門家にならずにコードと機能のリリースに集中できるように、よりスマートにする必要があります。 DevSecOps チームも、手動で調整しなくても、すべてのクラスターのすべての WAF が同じページにあることを知って安心できます。

コミュニケーションが鍵です。 これは、大規模に分散されたコンピューティングと最新のアプリが急速に進化するこの時代に、可能な限り最高のテクノロジーを提供し続けるために、当社がすべての製品に組み込んでいる中核的な機能です。

NGINX App Protect WAF に追加される新しい ML 機能の詳細とデモについては、来週サンフランシスコで開催されるRSA Conference 2022の Moscone Center 北ホールのブース #5771 にお越しいただくか、お問い合わせください

F5 NGINX に関するブログ投稿をもっと読む ›

「このブログ投稿には、入手できなくなった製品やサポートされなくなった製品が参照されている場合があります。 利用可能な F5 NGINX 製品およびソリューションに関する最新情報については、 NGINX 製品ファミリーをご覧ください。 NGINX は現在 F5 の一部です。 以前の NGINX.com リンクはすべて、F5.com の同様の NGINX コンテンツにリダイレクトされます。"