블로그 | NGINX

NGINX App Protect WAF의 새로운 머신 러닝으로 Kubernetes 클러스터를 보호하세요

NGINX-F5-수평-검정-유형-RGB의 일부
Thelen Blum 썸네일
텔렌 블럼
2022년 6월 2일 게시
야니브 사즈만 썸네일
야니브 사즈만
2022년 6월 2일 게시

최신 애플리케이션 팀은 " 보안 좌측 이동 "의 중요성과 이점을 점점 더 인식하고 있습니다. 즉, 애플리케이션 개발 및 배포 주기 초기에 보안 제어를 통합하는 것입니다. 좌측으로 방향을 전환하는 세상에서는 각 팀이 자체 애플리케이션에 가장 적합한 보안 솔루션과 매개변수를 선택합니다. 물론 이는 타당합니다. NGINX에서는 개발자에게 적절한 보안 솔루션 세트를 적극적으로 큐레이팅하여 "가드레일이 있는 선택권"을 제공하는 Platform Ops 팀을 옹호합니다. 그런 다음 개발자는 앱의 보안을 구성하는 작업을 맡게 되는데, 여기에는 일반적으로 내부용 애플리케이션과 마이크로서비스에 대해서도 웹 애플리케이션 방화벽(WAF)을 배포하는 작업이 포함됩니다.

하지만 현대 앱 팀을 위한 사실상의 표준 컨테이너 오케스트레이션 엔진인 Kubernetes에서 좌측으로 이동하는 것은 훨씬 더 복잡해지고, 특히 통신 및 조정이 큰 과제로 나타납니다. 개발자에게 여러 클러스터 간의 통신을 관리하도록 요청하는 것은 현실적이지 않습니다. 또한 Kubernetes에 WAF를 배치하는 데에는 아키텍처 및 성능 고려 사항이 있습니다. NGINX App Protect WAF를 사용하면 WAF를 NGINX Ingress Controller와 통합하거나 특정 마이크로서비스나 애플리케이션 앞에 별도의 WAF를 배치할 수 있습니다.

Kubernetes 클러스터 앞의 로드 밸런서, NGINX Ingress Controller 및 개별 Pod 또는 마이크로 서비스와 함께 배포된 NGINX App Protect WAF를 보여주는 토폴로지 다이어그램

두 접근 방식 모두 훌륭하지만, 각 접근 방식은 다른 사용 사례에 가장 적합합니다. 자체 애플리케이션만 관리하는 데 집중하는 개발자와 앱 팀의 경우 앱 앞의 NGINX Plus 로드 밸런서에 NGINX App Protect WAF를 배포하는 것은 제어력과 민첩성을 제공하는 완벽한 솔루션입니다. Kubernetes 클러스터와 해당 클러스터에서 실행되는 애플리케이션에 대한 포드 또는 서비스 수준에서 보안을 관리하려는 DevSecOps 팀의 경우 NGINX Plus 기반의 NGINX Ingress Controller에서 NGINX App Protect WAF를 실행하는 것이 최적이며, 이를 통해 Ingress 제어의 모든 이점과 Kubernetes API와의 기본 통합을 활용할 수 있습니다.

하지만 앞서 언급했듯이 클러스터 간, 심지어 클러스터 내부에서도 로드 밸런서, Ingress 컨트롤러 및 WAF 간 통신을 설정하는 것은 어렵습니다. 이를 위해서는 7계층과 4계층 네트워킹에 대한 자세한 이해와 지속적인 튜닝이 필요합니다. 즉, 강력한 보안 태세를 유지하려면 견고하고 실시간에 가까운 커뮤니케이션이 필수적입니다. 적절한 통신을 통해 WAF, 로드 밸런서 및 Ingress 컨트롤러는 모든 애플리케이션과 인스턴스에 새로운 공격에 대한 정보를 신속하게 알리고 공격 유형, 대상 프로토콜 및 소프트웨어, 관련 IP 주소 블록 등에 대한 데이터를 공유할 수 있습니다. 빠른 패턴 인식을 위해 머신 러닝(ML)을 추가하면 커뮤니케이션이 더욱 강력해집니다.

NGINX App Protect WAF의 새로운 적응형 위반 평가 기능

NGINX App Protect WAF에는 풍부한 ML 시스템이 포함되어 있어 Platform Ops, DevSecOps 및 SecOps 팀이 단일 조직 내 NGINX Plus 또는 NGINX Plus 기반 NGINX Ingress Controller에서 관리되는 모든 WAF에서 공격 추세와 데이터를 쉽게 공유할 수 있습니다. NGINX App Protect WAF에서 새로운 기능인 적응형 위반 평가 기능을 개발하고 있습니다. 이 기능은 ML을 더욱 활용하여 마이크로서비스의 동작이 변경되는 시점을 감지하여 보안 튜닝을 개선합니다. 이러한 ML 기능을 통해 NGINX App Protect WAF는 전 세계 수천 개 또는 수만 개의 WAF 전반에서 공격 추세를 지속적이고 자동으로 분석할 수 있습니다. 이 분석의 결과는 개발자와 기타 쉬프트-레프트 팀이 보안 전문가가 되어 WAF를 조작하지 않고도 거의 실시간으로 보안 태세를 지속적으로 조정하는 데 사용할 수 있습니다. 더 나은 점은 NGINX App Protect WAF 인스턴스 간에 공유되는 데이터가 많을수록 WAF가 더욱 지능화된다는 것입니다.

NGINX App Protect WAF 적응형 위반 평가 기능의 작동 방식을 보여주는 다이어그램

기업이 마이크로서비스 사용을 확대하고 내부 및 외부 애플리케이션 간의 구분이 줄어들면서 ML 기능은 점점 더 중요하고 가치 있게 되고 있습니다. 잠재적으로 수천 개의 마이크로서비스가 있고 각각이 자체적인 경량 WAF를 보유하고 있으며, 네트워크화되고 ML이 지원되는 NGINX App Protect WAF는 앱을 감시하는 살아있는 보안 두뇌와 같은 역할을 합니다. 최신 앱은 쉬프트-레프트 팀을 수용하고 보안 전문가가 되지 않고도 코드와 기능 제공에 집중할 수 있도록 더욱 스마트해야 합니다. DevSecOps 팀 역시 수동 조정 없이도 모든 클러스터의 모든 WAF가 동일한 페이지에 있다는 사실을 알고 마음의 평화를 누릴 수 있습니다.

의사소통이 핵심입니다. 이는 대량 분산 컴퓨팅과 최신 앱이 빠르게 진화하는 이 시대에 최상의 기술을 계속 제공하기 위해 모든 제품에 구축하고 있는 핵심 기능입니다.

NGINX App Protect WAF에 추가하는 새로운 ML 기능에 대한 자세한 내용과 데모를 원하시면 다음 주 샌프란시스코에서 열리는 RSA Conference 2022 의 모스콘 센터 북홀 5771번 부스를 방문하시거나 저희에게 문의하세요 .

F5 NGINX에 대한 더 많은 블로그 게시물 읽기 ›

"이 블로그 게시물에는 더 이상 사용할 수 없거나 더 이상 지원되지 않는 제품이 참조될 수 있습니다. 사용 가능한 F5 NGINX 제품과 솔루션에 대한 최신 정보를 보려면 NGINX 제품군을 살펴보세요. NGINX는 이제 F5의 일부가 되었습니다. 이전의 모든 NGINX.com 링크는 F5.com의 유사한 NGINX 콘텐츠로 리디렉션됩니다."