NGINX Ingress Controllerで実現するセキュリティ.pdf

1. NGINX Ingress Controller ♥ RedHat OpenShift で実現するセキュリティ〜 NGINXApp Protect WAF 〜 2023/01/25 F5 / Yoichi Komine ver20221124

4. ©2022 F5 4 セキュアなアプリケーション完成︕ 安⼼してサービスリリース︕ Webアプリケーションのリリースアプリケーション OS / Platform フレームワーク Django、Ruby on Rails、CakePHP、 Laravel、Spark、Tomcat、etc Python、Ruby、PHP、Java、JS、etc 静的解析（SAST） • ソースコードを主に対応 • 早期に細かな問題に対処 • 対処の⽅法が明確 • ランタイムや環境の問題は⾒つけにくい動的解析（DAST） • 動作中アプリを主に対応 • 外部からの疑似攻撃により実害の有無を判定 • ランタイムや環境の問題などを発⾒することができるセキュアなWebアプリケーション⽳がない・・、だがまだその時ではない・・ Dev セキュアコーディング Mod Mod Mod 新しいサービス︖︕

5. ©2022 F5 5 ⼤⼈気︕たくさんのユーザ︕ ユーザデータも集まり、より機能が充実︕ Webアプリケーションの流⾏と拡⼤アプリケーション OS / Platform フレームワーク Django、Ruby on Rails、CakePHP、 Laravel、Spark、Tomcat、etc Python、Ruby、PHP、Java、JS、etc 静的解析（SAST） • リリース時から継続して完全性の⾼い解析へ • リリース時のセキュアを保証動的解析（DAST） • 実サービスに影響が無いよう、限定的な解析セキュアなWebアプリケーション Dev セキュアコーディング Mod Mod Mod Mod Mod Mod 限定的楽しい︕ 便利︕ お⾦になるデータだ︕だがまだその時ではない・・⼈気に応じて攻撃者も集まる

6. ©2022 F5 6 脆弱性は突然に脆弱性︖︕ ⼤量のアプリ・モジュール・・、影響は・・、サービスは⽌められない・・、どうすれば・・アプリケーション OS / Platform フレームワーク Django、Ruby on Rails、CakePHP、 Laravel、Spark、Tomcat、etc Python、Ruby、PHP、Java、JS、etc 静的解析（SAST） • コード解析のみ • フレームワークの対処は困難動的解析（DAST） • 最新の攻撃を模倣し、対策を提⽰するものではない１分のサービス停⽌で100万円の損失また、ブランドイメージの毀損は計り知れない Dev セキュアコーディング Mod Mod Mod Mod Mod Mod 限定的なんか最近反応が悪いな・・その時がきた︕︕ データ盗んで・・サービス⽌めて・・ CVE 9.9

7. ©2022 F5 7 必要なセキュリティ対策アプリケーション OS / Platform フレームワーク Django、Ruby on Rails、CakePHP、 Laravel、Spark、Tomcat、etc Python、Ruby、PHP、Java、JS、etc 静的解析（SAST） • コード解析のみ • フレームワークの対処は困難動的解析（DAST） • 最新の攻撃を模倣し、対策を提⽰するものではない１分のサービス停⽌で100万円の損失ブランドイメージの毀損は計り知れないセキュアコーディング Mod Mod Mod Mod Mod Mod 限定的なんか最近反応が悪いな・・ CVE 9.9 あれ・・うまくいかないな・・潮時かな・・ Sec Dev Ops セキュリティ機能を構築調査、計画、対処モジュール、フレームワーク何使ってる︖ Pythonで・・ Djangoで・・バージョンは・・攻撃は突然始まります。普段の備えがなければ防げません。 1. まずは迅速に攻撃を遮断（WAF、etc） 2. アプリを調査し、影響度・対処⽅法を検討して対策（セキュアコーディング）２の恒久対策だけでなく、迅速に対処して損失やブランドの毀損を最⼩限に抑えるべく、１の対策も必要です。汎⽤的なポリシーアプリ毎のポリシー

8. ©2022 F5 8 堅牢なWebアプリケーションアプリケーション OS / Platform フレームワーク Django、Ruby on Rails、CakePHP、 Laravel、Spark、Tomcat、etc Python、Ruby、PHP、Java、JS、etc 静的解析（SAST）動的解析（DAST）セキュアなWebアプリケーションセキュアコーディング Mod Mod Mod Mod Mod Mod やっぱり楽しい︕ 便利︕ ⼿間がかかるな・・他に⾏こう・・ Sec Dev Ops 限定的ログ解析

10. ©2022 F5 10 対策すべき課題アプリケーション OS / Platform フレームワーク Django、Ruby on Rails、CakePHP、 Laravel、Spark、Tomcat、etc Python、Ruby、PHP、Java、JS、etc セキュアコーディング Mod Mod Mod Mod Mod Mod 1. まずは迅速に攻撃を遮断（WAF、etc） 2. アプリを調査し、影響度・対処⽅法を検討して対策（セキュアコーディング） Sec 今はまだアプリも少ないしシンプルだから（１）の対策も数⽇で可能だが・・最近アプリの進化、マイクロサービス化も早いし、セキュリティエンジニア増やすのは難しいし・・このままだったら（１）も（２）も、数週間、いや・・１ヶ⽉以上かかるかも・・、もしもの場合被害は計り知れないな・・エンジニアを増やさずに何とか迅速に対処する⽅法はないだろうか・・ Dev 呼んだ︖

11. ©2022 F5 11 アプリケーション型WAF アプリケーション OS / Platform フレームワーク Django、Ruby on Rails、CakePHP、 Laravel、Spark、Tomcat、etc Python、Ruby、PHP、Java、JS、etc セキュアコーディング Mod Mod Mod Mod Mod Mod NEW セキュアなWebアプリケーション Sec Dev すべてのアプリにWAFを組み込んで、セキュリティレベルを上げよう︕ チューニングはアプリチームにやってもらおう︕ え︕︖我々もWAFやるの︖ 皆様がおもう従来のWAF ＝ゲートウェイ型WAF 今⽇のお話の新しいWAF ＝アプリ型WAF

13. ©2022 F5 13 皆でWAFを習得しよう︕ 開発エンジニアがWAFをマスターする、といういことではありません。 WAFの運⽤には⾮常に⾼度な専⾨知識が必要です。⼀朝⼀⼣で⾝に付く知識ではありません。アプリケーションの構成を把握している⼈がスペシャリストのトレーニングや指導のもと「開発エンジニアが（皆が） WAFを扱える」「WAFが何をやっているのかを知る」この２つの事が重要です。 D D D D D S D S D O D O D Sec Ops スペシャリスト各チームへ、専⾨的な教育や指⽰を⾏う（多くの場合は開発エンジニア） Webアプリケーション開発チーム・全員がアーキテクチャを理解し、開発プロセス・構成を理解している・チーム内のSec担当者がWAFのチューニングを⾏う（多くのチームを兼任した結果アプリ環境の把握が困難、とならないようにする）将来はスペシャリストに・・

14. ©2022 F5 14 理想的な対応脆弱性が出たぞー︕ アプリが30個ある・・使っているアプリは・・該当する設定か調べて・・それぞれ個別チューニングなので⼀括は難しく・・優先度はこうで・・・徹夜で対応して、なんとか５⽇以内に対応完了⽬標で頑張ります・・・ Sec or Ops Dev ・・・何かやってあげたいが何やったらいいかわからない Log4j脆弱性対応即⽇完了︕ 皆さん、⼤好きなLog4jの脆弱性です。きっとほとんど使っているのではないでしょうか。今⼀度皆さんのアプリを⾒直してください。該当する⽅は即対応してください。詳細やチューニングはこちらです。明⽇の10時、Git確認しますので、対応不要でもコメントは残しておいてください。それでは皆さん、お願いします︕ D e v はーい、やっておきます︕ Sec Ops

16. ©2022 F5 16 WAF on OpenShift NGINX App Protect WAF機能（＝ NAP） • 世界中で実績が豊富なF5製WAFを移植 • 構成変更不要で、IngressでWAFを実⾏可能 • 前段のLB（BIG-IP等）からL7LBやセキュリティ設定をNGINX Ingressに移すことで、ネットワークやセキュリティがブロッカーにならない理想的なCICDサイクルを実現 • OWASP Top 10 シグネチャ & CVEs • メタ⽂字チェック • HTTPプロトコル標準 • Bot通信検知 • 不許可ファイルアップロード検知 (bin, cgi, cmd, com, dll, exe, msi, sys, shtm, shtml, stm等) • セキュリティスコア検知 • Cookie改ざん • JSON & XML⽂法 • Data Guard & 重要パラメータ add-on

20. ©2022 F5 20 NGINX App Protect WAF パフォーマンス 0 0.5 1 1.5 2 2.5 Throughput (MB/sec) No Protection NGINX App Protect ModSec 0 2000 4000 6000 8000 10000 12000 14000 Requests/sec No Protection NGINX App Protect ModSec 0 100 200 300 400 500 600 700 800 Latency (ms) No Protection NGINX App Protect ModSec 包括的なセキュリティポリシーはレイテンシに影響を与えず、 ModSecと⽐較してスループットとリクエスト/秒が向上します。 ModSec の設定。OWASP トップ 10 (すべての CRS 3v ルールを有効にする) NGINX App Protectの設定。OWASPトップ10（署名を有効にする）、回避技術、データガード、許可されないファイルタイプ、HTTPプロトコル準拠

23. ©2022 F5 23 NGINX Security Monitoring • SecOpsやWAFチーム向け、セキュリティイベント監視ダッシュボード • 管理しているすべてのNGINX App Protect のイベントを監視 • セキュリティイベントをフィルタリングし、上位の違反や驚異に関する情報を表⽰ • Bot関連の驚異も同じダッシュボードに表⽰ • リクエストブロック時に発⾏されるサポートIDから特定のリクエストを特定し、詳細な原因を瞬時に把握 • 追加ライセンス無しでご利⽤頂けます

24. ©2022 F5 24 RedHat OpenShift Router / NGINX Ingress Controller活⽤のメリット OpenShift Cluster pod 外部ネットワークからの攻撃柔軟な権限管理 (VS/VSR/Policy) 柔軟な通信制御ヘッダー・Cookie TCP/UDP対応詳細なMetrics ・OpenTracing OIDC・JWTによる通信制御シンプルな HTTP/HTTPS PATH Routing シンプルなMetrics ・Prometheus WAF/L7 DoS対策による⾼度な防御 (※追加モジュール) Circuit Breaker/帯域制御など柔軟な流量制御 pod Ingress Controller OpenShift Router NGINX Ingress ControllerはOpenShift Router が提供する機能に加え、⾼度な通信制御機能・開発元によるパッチ提供が可能です。 OpenShift Router NGINX Ingress Controller ⾼度な通信制御機能⾼度なセキュリティ機能シンプルなRate Limit 製品開発メーカーのサポート・セキュリティパッチの提供メーカーサポート

NGINX Ingress Controllerで実現するセキュリティ.pdf

Vous êtes en train de lire un aperçu.

Consultez-les par la suite

NGINX Ingress Controllerで実現するセキュリティ.pdf

Plus De Contenu Connexe

Similaire à NGINX Ingress Controllerで実現するセキュリティ.pdf (20)

Plus récents (20)