大規模な WAF の管理に一元的な可視性と構成管理が必要な理由

F5 の「2022 年のアプリケーション戦略の現状」レポートでは、IT 意思決定者の 90% が、組織が 200 ～ 1,000 個のアプリを管理していると報告しており、これは 5 年前と比べて 31% 増加しています。 Enterprise Strategy Group による、最新のアプリケーション セキュリティ トレンドが WAAP の採用を促進する方法に関する別の調査 (2022 年 5 月、F5 提供) では、IT 意思決定者の大多数が、過去 2 年間でアプリケーション セキュリティがより困難になっており、72% が Web アプリケーションを保護するために WAF を使用していると述べています。 組織がデジタル変革を継続し、Web アプリケーションが急増するにつれて、WAF 保護の強化の必要性も高まります。 しかし、ほとんどのツールと同様に、WAF の数が増えるほど、一貫性と効率性を維持して管理することが難しくなります。

大規模な WAF を管理する際の課題は次のとおりです。

• アプリケーション層の攻撃ベクトルと脆弱性に対する十分な可視性の欠如、特にそれらの数が相当数あることを考慮すると
• WAF 設定を過度に許容的または過度に保護的になるようバランスをとる。特に手動で大規模に行う場合、結果として生じる誤検知や誤検知を修正するのに時間がかかります。
• 疑わしいコードやインジェクションの試みを確実に特定するために必要な、大量のアプリケーションポリシー管理の一貫性を確保する
• フリート内の 1 つの WAF さえ維持できなかった場合の潜在的なロングテール コスト (金銭的損失、評判とブランドのダメージ、忠実な顧客の喪失、規制違反に対する罰金など) は、非常に大きな損害をもたらします。
• 時間の経過とともにWAF構成をサポートおよび更新する必要性

大規模な WAF 管理では、セキュリティ チームとアプリケーション チームの両方がセットアップとメンテナンスに関与します。 WAF を効果的に管理し、アプリケーションを適切に保護するには、攻撃と WAF パフォーマンスの全体的な可視性と、グローバル規模で構成を編集および公開する機能を組み合わせた適切なツールが必要です。 このブログでは、WAF フリートの集中型セキュリティ可視化と構成管理の利点について説明します。

集中化された WAF の可視性による、大規模で実用的なセキュリティ インサイト

大規模な WAF を簡単に管理し、情報に基づいた意思決定に必要な洞察を得るには、単一の画面から WAF フリート全体の可視性を提供する管理プレーンが必要です。 主な違反や攻撃、誤検知や誤検知、攻撃を受けているアプリ、不正行為者に関する情報を表示できます。 攻撃グラフ（地理的位置を含む）に基づいてセキュリティ ポリシーを調整する方法や、WAF イベント ログをドリルダウンする方法を確認できます。

NGINX がどのように役立つか: F5 NGINX 管理スイート セキュリティ監視

2022 年 8 月に導入された、NGINX フリート向けの統合トラフィック管理およびセキュリティ ソリューションであるF5 NGINX Management Suiteのセキュリティ監視モジュールの一般提供を開始いたします。 セキュリティ モニタリングは、 F5 NGINX App Protect WAF用の視覚化ツールであり、すぐに簡単に使用できます。 サードパーティ ツールの必要性が減るだけでなく、アプリと API の保護に関する独自の厳選された洞察も提供されます。 セキュリティ、開発、プラットフォーム運用の各チームは、脅威を分析し、保護の洞察を確認し、ポリシー調整の領域を特定できるようになるため、問題を検出し、迅速に修正することが容易になります。

セキュリティ監視モジュールを使用すると、次のことが可能になります。

• ダッシュボードを使用すると、アプリごとまたは全体でトリガーされた主要な違反、ボット攻撃、シグネチャ、攻撃されたインスタンス、CVE、脅威キャンペーンをすばやく確認できます。 より詳細な分析を行うために、さまざまなセキュリティ ログ パラメータをフィルタリングします。
• 精度、リスク レベル、リクエスト ペイロードのどの部分が署名をトリガーして適用したかなどの情報を含む、署名によってトリガーされたイベントに関する洞察に基づいて、調整の決定を行います。
• アプリごとまたは全体で、主要な攻撃者 (クライアント IP アドレス)、地理位置情報ベクトル、攻撃対象 (URL) を検出します。
• リクエストと違反に関する詳細を含む WAF イベントを参照し、NGINX App Protect WAF によって記録されたリクエスト ID やその他のメトリックで検索できます。

NGINXアプリ全体の構成管理WAFフリートの保護

認識と可視性はアプリの攻撃や脆弱性を特定する上で不可欠ですが、攻撃を自動的に検出して軽減する WAF ポリシーを実装することで得られる洞察に基づいて行動できない場合、それらはほとんど価値がありません。 WAF の真の価値は、WAF 全体にわたってポリシーを作成、展開、変更できる速度と容易さによって決まります。 手動更新には膨大な時間と正確な記録保存が必要となり、攻撃や脆弱性の影響を受けやすくなります。 また、サードパーティのツールは効果的である可能性はありますが、不必要な複雑さを追加します。

集中管理プレーンにより、セキュリティ ポリシーを更新し、ボタンを 1 回押すだけで 1 つ、複数、またはすべての WAF にプッシュできる構成管理が可能になります。 この方法には 2 つの明らかな利点があります。

• WAF 環境全体にわたって現在の脅威に応じてポリシー更新を迅速に展開および拡張できます。
• セキュリティ チームは、開発者が構築しているすべてのアプリと API の保護を制御することができます。

NGINX がどのように役立つか: F5 NGINX 管理スイートインスタンスマネージャ – 構成管理

NGINX Management Suite のインスタンス マネージャーモジュールを使用して、NGINX App Protect WAF を大規模に管理できるようになりました。 この機能強化により、NGINX App Protect WAF のポリシー、攻撃シグネチャ、脅威キャンペーンを作成、変更、公開するための集中型インターフェースが提供され、脅威に対する保護とトラフィックの急増への対応がより迅速になります。

インスタンス マネージャー モジュールを使用すると、次のことが可能になります。

• 構成オブジェクトを 1 か所で定義し、選択した NGINX App Protect WAF インスタンスにプッシュします。 オブジェクトには、セキュリティ ポリシー、攻撃シグネチャの更新と脅威キャンペーン パッケージの展開が含まれます。
• 構成管理にはグラフィカル ユーザー インターフェイス (GUI) または REST API を選択します。 API を使用すると、CI/CD パイプラインに構成オブジェクトをデプロイできます。
• さまざまなインスタンスに展開されているポリシーとバージョンを確認します。
• JSON ビジュアル エディターを使用して、NGINX App Protect WAF ポリシーを作成、表示、編集し、即座にデプロイするオプションも利用できます。
• 展開前に NGINX App Protect WAF ポリシーをコンパイルして、WAF インスタンスの更新に必要な時間を短縮します。
• NGINX Management Suite セキュリティ モニタリングを通じて WAF ログとメトリックを表示します。

NGINX Management Suite で WAF セキュリティを制御

詳細については、当社の Web サイトのNGINX Management SuiteおよびInstance Managerにアクセスするか、ドキュメントをご覧ください。

• NGINX 管理スイート セキュリティ監視
• NGINX App Protect WAF の構成管理について

WAF の管理に NGINX Management Suite を試してみませんか? 30 日間の無料トライアルをリクエストしてください。