Recommandé
Recommandé
Contenu connexe
Tendances
Tendances (20)
Similaire à NGINX App Protect for Secure Coding Webinar
Similaire à NGINX App Protect for Secure Coding Webinar (20)
Plus de NGINX, Inc.
Plus de NGINX, Inc. (20)
NGINX App Protect for Secure Coding Webinar
- 8. ©2022 F5 8 セキュアコーディングでやるべきこと – yamory 重要な主要セキュリティ 管理策に関する喚起 重要な主要脆弱性に関す る喚起 セキュアなアプリケー ションの定義 https://yamory.io/blog/how-to-build-secure-web-app-01/ ASVSとは OWASPが策定した286項目の要求事項から成るWebアプリケーション に関する網羅的なセキュリティ要件のリスト → セキュアな Web アプリケーションとは何かを定義したリスト 簡単 難しい
- 9. ©2022 F5 9 セキュアコーディングでやるべきこと – OWASP https://www.saj.or.jp/documents/NEWS/pr/20200903_OWASP_ASVS4.0-ja.pdf
- 10. ©2022 F5 10 セキュアコーディングでやるべきこと – KENRO https://flattsecurity.hatenablog.com/entry/kenro_free_trial
- 11. ©2022 F5 11 セキュアコーディングでやるべきこと – その他 CERT セキュアコーディングプラクティスTOP10 https://wiki.sei.cmu.edu/confluence/display/seccode/Top+10+Secure+Coding+Practices 1. Validate input(入力バリデーション) 2. Heed compiler warnings(コンパイラ警告を無視しない。解析ツールも使う) 3. Architect and design for security policies(設計、デザインにセキュリティポリシーを 反映する) 4. Keep it simple(できるだけ単純にする) 5. Default deny(デフォルトで拒否する) 6. Adhere to the principle of least privilege(最小権限原則を守る) 7. Sanitize data sent to other systems(出力を無害化する) 8. Practice defense in depth(縦深防御/多層防御を実践する) 9. Use effective quality assurance techniques(品質保証テクニックを利用する) 10.Adopt a secure coding standard(セキュアコーディング標準を採用/作成する) OWASP Secure Coding Practices Quick Reference Guide https://owasp.org/www-pdf-archive/OWASP_SCP_Quick_Reference_Guide_v2.pdf • Input Validation(入力バリデーション) • Output Encoding(出力のエンコーディング/エスケープ) • Authentication and Password Management(認証とパスワード管理) • Session Management(セッション管理) • Access Control(アクセス制御、認可) • Cryptographic Practices(暗号) • Error Handling and Logging(エラー処理とログ) • Data Protection(データ保護) • Communication Security(コミュニケーション) • System Configuration(システム設定) • Database Security(データベース) • File Management(ファイル管理) • Memory Management(メモリ管理) • General Coding Practices(一般コーディングプラクティス) Defensive Programming (Wikipedia) https://en.wikipedia.org/wiki/Defensive_programming • Intelligent source code reuse(コードの品質を確認して再利用) • Secure input and output handling(入力バリデーション、安全な出力) • Canonicalization(正規化。標準形式に変換してから処理) • Low tolerance against “potential” bugs(バグとなる可能性のあるコードをできるだけ許容しない) • Other techniques • unchecked use of constant-size structures and functions for dynamic-size data(バッファーオーバーフロー対策) • Encrypt/authenticate all important data transmitted over networks(暗号化と認証を利用) • All data is important until proven otherwise.(バリデーションしたデータ、信用できるデータ以外は信用しない) • All data is tainted until proven otherwise.(バリデーションしたデータ、信用できるデータ以外は汚染されていると考える) • All code is insecure until proven otherwise.(全てのコードは安全だと証明されない限り、安全でない。盲目的に信用しない) • If data are to be checked for correctness, verify that they are correct, not that they are incorrect. (ホワイトリストを利用) • Design by contract (参考:エンジニア必須の概念 – 契約による設計と信頼境界線) • Assertions(プログラミング言語のassert機能を利用) • Prefer exceptions to return codes(戻り値より例外を優先) https://blog.ohgaki.net/secure-defensive-programming-history
- 12. ©2022 F5 12 セキュアコーディングでやるべきこと – まとめ 入力 出力(レスポンス) 出力(外部APIコール) 出力(DBアクセス) 入力 バリデーション 無害化 各種攻撃への対策 ・セッション管理 ・アクセス制御 ・etc メインロジック エラー処理 出力 バリデーション 無害化 出力 バリデーション 無害化 ※ セキュリティ専門家ではないエンジニア(ス ピーカー)が考える「やるべきこと概要」で す。あくまでご参考程度としてください。
- 14. ©2022 F5 14 セキュアコーディングの限界 → WAFの活用 簡単 難しい WAF • OWASP Top 10 シグネチャ & CVEs • メタ文字チェック • HTTPプロトコル標準 • Bot通信検知 • 不許可ファイルアップロード検知 (bin, cgi, cmd, com, dll, exe, msi, sys, shtm, shtml, stm等) • セキュリティスコア検知 • Cookie改ざん • JSON & XML文法 • Data Guard & 重要パラメータ https://yamory.io/blog/how-to-build-secure-web-app-01/
- 15. ©2022 F5 15 セキュアコーディングの限界 → WAFの活用 簡単 難しい WAFがあるからセキュアコー ディングしなくていいや・・ セキュアコーディング は絶対に必要だ! 専門の知識が必要です WAFはWAF用の設定方法で、専用のポリシーファイルで、専用 のチューニング知識が必要です。 継続的な監視、チューニングが必要です 導入したら終わりではなく、継続して監視し、チューニングを 行わなければ意味がありません。 SOCが必要です ログ解析はスキルが必要です。SOCが社内になければ外部に委 託します。 アプリケーション毎にチューニングが必要です よりセキュリティを強固にするためにはアプリ毎にチューニン グする必要があります。 安価なお守り的なWAFから高度なWAF、 SaaS/Managed/Self 等様々です 種類が豊富で適切なものを選択する必要があります。 WAF・・・ WAFも完璧ではありません。 ・導入ハードルの高さ ・WAF1つですべて防げるわけではない(セキュリティは多層防御) https://yamory.io/blog/how-to-build-secure-web-app-01/
- 16. ©2022 F5 16 セキュアコーディング・WAFの課題 セキュアコーディング ・多種多様な驚異への対策の限界 → WAFが必要 ・エンジニアのスキルレベルの向上と維持 → 大きな教育コスト ・アプリのセキュリティレベルの維持 → 開発工数や、レビュー・テストに多くの工数を割り当て WAF ・必要性は認識しているが、セキュリティはコストと捉えられてしまう ・専門知識が必要 ・Devチームと連携し、アプリごとのチューニングが大変 課題はあれど、どちらも必要です 全員がここまで到達 するためには? https://yamory.io/blog/how-to-build-secure-web-app-01/
- 18. ©2022 F5 18 進化する開発エンジニア ✓ アプリケーションの開発 ✓ Containerの管理(OS、ミドルウェア、 DB、etc、アプリを動作させる環境や ツールを管理) ✓ k8sリソースの管理(ネットワークやセ キュリティ含め、yaml等でk8sリソース を開発、管理) ✓ ・・・ 様々なツールを活用し、開発エンジニアのカバー領域が拡大 https://www.hitachi-solutions-create.co.jp/column/reform/ai-unemployment.html Dev WAF これが私の真の姿
- 19. ©2022 F5 19 k8s 環境での WAF NGINX App Protect機能 • Containerで動作するWAFはまだまだ少 なく、Ingressで圧倒的なシェアを誇る NGINXがWAF機能を提供 • WAF用のPODを起動する必要はなく、 Ingressで実行することで構成の変更は 不要 • 世界中で実績が豊富なF5製WAFを移植 • OWASP Top 10 シグネチャ & CVEs • メタ文字チェック • HTTPプロトコル標準 • Bot通信検知 • 不許可ファイルアップロード検知 (bin, cgi, cmd, com, dll, exe, msi, sys, shtm, shtml, stm等) • セキュリティスコア検知 • Cookie改ざん • JSON & XML文法 • Data Guard & 重要パラメータ add-on
- 20. ©2022 F5 20 k8sリソースとして扱える唯一のWAF https://www.nginx.co.jp/resources/webinars/itmedia_use_case_webinar/
- 22. ©2022 F5 22 Source: Datadog Container Report 2021 The Top Technologies Running on Docker あらゆる環境に最適なNGINX Technology 4.5億 sites run NGINX https://news.netcraft.com/archives/2020/05/26/may-2020-web-server-survey.html NGINXは知ってます! 使ってまいす!
- 23. ©2022 F5 23 NGINX App Protect パフォーマンス 0 0.5 1 1.5 2 2.5 Throughput (MB/sec) No Protection NGINX App Protect ModSec 0 2000 4000 6000 8000 10000 12000 14000 Requests/sec No Protection NGINX App Protect ModSec 0 100 200 300 400 500 600 700 800 Latency (ms) No Protection NGINX App Protect ModSec 包括的なセキュリティポリシーはレイテンシに影響を与えず、 ModSecと比較してスループットとリクエスト/秒が向上します。 ModSec の設定。OWASP トップ 10 (すべての CRS 3v ルールを有効にする) NGINX App Protectの設定。OWASPトップ10(署名を有効にする)、回避技術、データガード、許可されないファイルタイプ、HTTPプロトコル準拠
- 24. ©2022 F5 24 セキュアコーディングツールとしてのWAF https://yamory.io/blog/about-waf/ k8sリソースとして扱えるNGINX App Protectが実現する セキュアコーディングツールとしてのWAF
- 25. ©2022 F5 25 セキュアコーディングでやるべきこと 入力 出力(レスポンス) 出力(外部APIコール) 出力(DBアクセス) 入力 バリデーション 無害化 各種攻撃への対策 ・セッション管理 ・アクセス制御 ・etc メインロジック エラー処理 出力 バリデーション 無害化 出力 バリデーション 無害化 ※ セキュリティ専門家ではないエンジニア(ス ピーカー)が考える「やるべきこと概要」で す。あくまでご参考程度としてください。 WAFで できるところ
- 26. ©2022 F5 26 WAFでできること – 入力バリデーションチェック https://docs.nginx.com/nginx-app-protect/configuration-guide/configuration/ 入力パラメータのバリデーションチェック機能 ・データ型チェック ・パラメータ配置場所チェック ・必須かどうか ・empty許容するかどうか ・メタ文字を許容するかどうか ・アタックシグネチャとの関連 ・etc ✓ アプリの言語やフレームワークに依存せず、すべてのア プリで共通の方法で入力バリデーションが可能 ✓ すべてのアプリで正しくバリデーションチェックがされ ているか、のチェックが容易に ✓ 流用が容易で、工数削減、バグ削減に貢献
- 27. ©2022 F5 27 WAFでできること – 各種攻撃への対策 深い専門知識が必要なため、Secチームが作成したポ リシーファイルやチューニング方法をSecチーム主導 のもと取り込む 開発エンジニアとして、 ・WAFで何をやっているか ・どの攻撃を実際のコーディングで対策すべきか ・チューニングの方法 といった知識を身につけセキュアコーディングを実施 信頼境界線次第ではあるが、 コーディングではなくWAFにオフロードすることで工 数を削減 https://docs.nginx.com/nginx-app-protect/configuration-guide/configuration/
- 28. ©2022 F5 28 WAFでできること – 出力データの処理 「Data Guard」機能で、クレジットカード番号等、レスポンス内の重要パラメータをマスキング その他、「レスポンス用のアタックシグネチャ」「レスポンスファイルタイプチェック」「レスポンス コード処理」等、出力データ(レスポンス)への処理も可能 https://docs.nginx.com/nginx-app-protect/configuration-guide/configuration/
- 30. ©2022 F5 30 エンジニアの意識改革 – DevSecOpsの先へ Sec Dev Ops WAFはSecurity チーム管轄だな。 我々はコード化し て管理するのみ。 WAF WAFを手に入れた Dev Sec 私がサポートする から頑張って! DevSecOps DevSecOpsは当然必要 Devがセキュリティ知識の習得へ
- 31. ©2022 F5 31 ➢ コーディング規約作成 ➢ セキュリティ基礎知識 ➢ トレーニング(使い方、チューニング) セキュリティチームとの連携 Sec Dev Dev Sec D e v xxの攻撃がきてるね ○○画面ですね。このパラ メータ、狙われてますね。 チューニングはどう しましょう? テンプレートそのまま で、△△シグネチャあ ててみて わかりました 適用前に一応 レビューさせて わかりました プルリク送っておきます WAFを共通のツールとして活用し 共通のダッシュボードと共通言語で迅速に対策
- 32. ©2022 F5 32 例:Log4J脆弱性の対応 脆弱性が 出たぞー! Sec アプリが30個ある・・ 使っているアプリは・・ 該当する設定か調べて・・ それぞれ個別チューニング なので一括は難しく・・ 優先度はこうで・・・ 徹夜で対応して、なんとか5日以内 に対応完了目標で頑張ります・・・ Sec 皆さん、大好きなLog4jの脆弱性 です。 きっとほとんど使っているのでは ないでしょうか。 今一度皆さんのアプリを見直して ください。 該当する方は即対応してください。 詳細やチューニングはこちらです。 明日の10時、Git確認しますので、対応不 要でもコメントは残しておいてください。 それでは皆さん、 お願いします! D e v はーい、やっておきます! Sec 来年辞める Dev ・・・ 何かやってあげたいが 何やったらいいかわからない Log4j脆弱性対応 即 日 完 了!
- 34. ©2022 F5 34 それぞれの役割 CISO Sec Dev Ops SOC CSIRT ✓ 脆弱性の調査 ✓ SOCによる監視 ✓ CSIRTによる対応策の検討 ✓ インシデント発生時、各チームへの対応 指示 ✓ ベースポリシーの作成、カテゴ ライズ、カスタマイズと展開 ✓ チューニング方法のパターン化 ✓ 社内へのセキュリティトレーニング実施 Sec Infra Prog Prog Prog ✓ WAFを含めたセキュアコーディング の実施 ✓ k8s上でのアプリ管理 ✓ コンテナWAFの運用、管理 ✓ Secのダッシュボードで一緒に監視 ✓ インシデント発生時の対応 (Secの指示に従って実施) ✓ セキュリティトレーニング受講 k8s AWS GCP Azure NW Server ✓ マルチ・ハイブリットクラウドの設 計、構築、運用管理 ✓ オンプレ基盤設計、構築、運用管理 ✓ 各クラウドの構築とDevへの構築支 援 ✓ k8sの構築とDevへの構築支援 CTO
- 35. ©2022 F5 35 それぞれの役割 CISO Sec Dev Ops SOC CSIRT ✓ 脆弱性の調査 ✓ SOCによる監視 ✓ CSIRTによる対応策の検討 ✓ インシデント発生時、各チームへの対応 指示 ✓ ベースポリシーの作成、カテゴ ライズ、カスタマイズと展開 ✓ チューニング方法のパターン化 ✓ 社内へのセキュリティトレーニング実施 Sec Infra Prog Prog Prog ✓ WAFを含めたセキュアコーディング の実施 ✓ k8s上でのアプリ管理 ✓ コンテナWAFの運用、管理 ✓ Secのダッシュボードで一緒に監視 ✓ インシデント発生時の対応 (Secの指示に従って実施) ✓ セキュリティトレーニング受講 k8s AWS GCP Azure NW Server ✓ マルチ・ハイブリットクラウドの設 計、構築、運用管理 ✓ オンプレ基盤設計、構築、運用管理 ✓ 各クラウドの構築とDevへの構築支 援 ✓ k8sの構築とDevへの構築支援 CTO DevがWAFを「マスターする」ということではありません。 高度なノウハウは当然Secが担当し、DevはSecの指導のもと 「WAFが何をやっているのか」を知り「扱い方をおぼえる」事 が必要です。
- 36. ©2022 F5 36 WAFの誤検知例 https://insight-jp.nttsecurity.com/post/102fw48/12-18waf 一般的なSQLインジェクション例 ログイン画面に対して以下のような実装がされていた場合 SELECT user_id FROM account_table WHERE user_id=’ユーザID’ password=’パスワード’ UserID/Password を入力するフォームに以下のような文字を入力 ‘ OR ‘1’ = ‘1’ -- そのとき、Web サーバを通してデータベースサーバには以下のような SQL 文が送られる SELECT user_id FROM account_table WHERE user_id=’ ‘ OR ‘1’ = ‘1’ -- ’ password=’’ WAFシグネチャの自動チューニングには限界があり、AIに100%頼 ることはできない。一方、開発エンジニアであれば、即座に誤検知を 判断でき、かつ事前に対象のパラメータを対象から外す(チューニン グする)事ができる。 WAF設定は開発エンジニアが実施すべき? 「’」と「OR」の文字があれば WAF が検 知するという単純なものではありませんが、 その他複合的な条件が一致した場合には、 悪意のない通信も検知してしまうときがあ ります。
- 38. ©2022 F5 38 NGINX App Protectが解決する課題 開発エンジニアの セキュリティレベル、意識を向上させるには (k8s環境において) セキュアコーディングをモダナイズする ✓ k8sリソースは開発エンジニアが管理 ✓ NGINX App Protect をツールとして活用 ✓ セキュリティ意識、品質の向上と維持 ✓ セキュリティを次のステップへ ✓ 企業価値を向上させる https://yamory.io/blog/how-to-build-secure-web-app-01/
- 41. ©2022 F5 41 F5 OneWAF F5 Application Protection F5 Advanced WAF NGINX App Protect “Modular WAF” (planned) F5 WAAP Silverline WAF SELF MANAGED AS-A- SERVICE MANAGED SERVICE WAFのポータビリティ
- 43. ©2022 F5 43 今から理想を目指して まずは現状と同じ、Sec チームでF5 WAF管理 理想のDevSecOpsに向け て一歩前進! できるところから徐々に WAFを全エンジニアに!
- 44. ©2022 F5 44 モダンな「セキュアコーディング」 まとめ ✓ Kubernetesを活用することにより、開発エンジニア がCI/CD・Security as Codeのコンセプトのもと柔 軟な防御を実現。 ✓ 今までは別のエンジニアが管理する「WAF」。これ をコンテナ化およびKubernetes 共通の設定方法 (YAML)による抽象化により、シームレスに開発エ ンジニアが管理できるようになる。 ✓ as Codeのデザインにより、セキュリティポリシーを セキュリティエンジニア、開発エンジニア双方が管理 可能となる。セキュリティエンジニアだけのWAFと いったブラックボックス化を回避。 ✓ 開発エンジニアがセキュリティ知識を習得し、言語や フレームワークに依存しない真のShift-Leftを実現。 NGINX App Protect k8sリソースファイルの開発(WAF含む) + アプリでの従来型セキュアコーディング モダンな「セキュアコーディング」
- 48. ©2022 F5 2 NGINXの強み • 世の中でもっとも利用されているWebアプリケーションソフト ウェア • Netflixやクラウドフレアのコンテンツキャッシュ機能 • コンテナ環境において最も利用されているOSSソフトウェア • リソースが少なく高速。安定した動作 • 多機能。幅広い環境で利用可能 大規模・重要な環境で最も利用されているソフトェアです NGINXとは、
- 50. ©2022 F5 4 幅広い動作環境・クラウドに依存せずポータブル CONFIDENTIAL Linux/BSD CPUs Advanced Load Balancing Advanced Content Cache Web Server Reverse Proxy and Cache Advanced Monitoring & Management Advanced Security Controls あらゆる環境で自由な設定・動作により、俊敏なサービスリリースを実現 VMware vSphere プライベートクラウド パブリッククラウド コンテナ 多機能
- 51. ©2022 F5 5 コンテナプラットフォームに最適なNGINX Technology Source: Datadog Container Report 2021 The Top Technologies Running on Docker Top Ingress Providers CNCF Survey Source: CNCF Survey 2020 安定・高速動作がクラウドネイティブ環境に最適 実績
- 53. ©2022 F5 7 柔軟に拡張できる最高のパフォーマンス 0 10000 20000 30000 40000 50000 60000 0 200000 400000 600000 800000 1000000 1200000 RPS ECC https://www.nginx.com/resources/datasheets/nginx-plus-sizing-guide/ https://www.nginx.com/blog/nginx-plus-sizing-guide-how-we-tested/ NGINXはCPU Core数に応じて通信の並列処理を実施します CPUコア数に応じてパフォーマンスが向上します 2 CPU cores 4 GB RAM 4 CPU cores 4 GB RAM 8 CPU cores 4 GB RAM 16 CPU cores 4 GB RAM 32 CPU cores 8 GB RAM HARDWARE SPECS EXPECTED PERFORMANCE 2 CPU cores 4 GB RAM 2x1 GbE NIC 90,000 RPS 4,500 SSL TPS (ECC) 1 Gbps throughput 4 CPU cores 4 GB RAM 2x40 GbE NIC 175,000 RPS 8,500 SSL TPS (ECC) 5 Gbps throughput 8 CPU cores 4 GB RAM 2x40 GbE NIC 350,000 RPS 16,000 SSL TPS (ECC) 40 Gbps throughput 16 CPU cores 4 GB RAM 2x40 GbE NIC 650,000 RPS 30,000 SSL TPS (ECC) 40 Gbps throughput 32 CPU cores 8 GB RAM 4x40 GbE NIC 1,000,000 RPS 52,000 SSL TPS (ECC) 70 Gbps throughput 44 CPU cores 16 GB RAM 4x40 GbE NIC 1,200,000 RPS 64,000 SSL TPS (ECC) 70 Gbps throughput 構成変更なく大量の通信に柔軟に対応 安定・拡張性
- 56. ©2022 F5 10 NGINX 製品 Delivering modern applications at scale across seamlessly across multi-cloud NGINX Plus All-In-One Software Webサーバ、ロードバランサー、 コンテンツキャッシュ 安定、高速、高機能 必要となるリソースは最小 NGINX Controller NGINX+統合管理ソフトウェア NGINX+のロードバランサやAPI Gateway、更にマルチクラウド 環境においても容易に管理が可能。 GUIに加えAPIでの制御が可能 NGINX App Protect WAF対応 High quality Support NGINX Instance Manager 指定したネットワーク内をスキャンし NGINX OSS、NGINX Plusを 管理。ヒストリカルなトラフィック・ ステータス情報やコンフィグ、 証明書の一括管理を提供
- 57. ©2022 F5 11 NGINX セキュリティ製品 Delivering modern applications at scale across seamlessly across multi-cloud NGINX App Protect WAF アプリケーションに特化した Web Application Firewall NGINX+にシームレスに統合可 能な新しいWAF。 F5の実績に 基づき、高速な高品質な WAFを実現 High quality Support NGINX App Protect DoS 新世代DoS攻撃への対応 NGINX+にシームレスに統合可 能な新しいDoS対策。従来の ツールや戦略では検知できない レイヤー7のDoS脅威から高度な 保護を実現
- 58. ©2022 F5 12 NGINX コンテナ製品 Delivering modern applications at scale across seamlessly across multi-cloud NGINX Service Mesh NGINX Plusで複雑な マイクロサービス、 アプリケーション間の 通信問題を解決するシンプルな サービスメッシュソリューション。 NGINX Ingress Controller Kubernetes環境への 外部アクセスをコントロール。 NGINX機能をIngressリソース を通じて管理可能。NGINX App Protect WAF / DoS 対応 High quality Support
- 60. ©2022 F5 14 ライセンス体系 ■購入パターン1:Kubernetesクラスタ単位 KubernetesクラスタのIngressとしてNGINX およびApp Protectをご利用いただく際に選 択いただけるBundleパッケージです。 クラスタ単位でNAPを有効にしたNGINX Ingress Controllerを自由にご利用いただけ ます Ingress Controller ServiceMesh Support NGINX Microervices Bundle App Protect WAF (Small MAX 5node, Medium MAX 20 node, Large MAX 40 node) Kubernetes クラスタ数 ■購入パターン2:インスタンス単位 NGINX PlusとNGINX App Protectを実行される 単位をインスタンスとしてカウントします。 (ベアメタルでの実行、VMでの実行、 コンテナでの 実行も全て1インスタンスとします。) デプロイ用途を限定しない:NGINX Plus+WAF Ingress Controller用途に限定:NGINX Plus Ingress Controller+WAF Ingress Controller App Protect WAF OR Plus インスタンス(コンテナ)数 NGINX Plus x 2 以上 NGINX IC x 3 以上 だと Microservice Bundleがお得!!
- 61. ©2022 F5 15 NGINX WAFのデプロイ構成 Service App ServiceA Ingress Controller 外部ネットワークからの攻撃 pod pod Gateway Kubernetes Cluster Application Platform ライブラリ・コンテナへ 悪意あるプログラム 購入パターン2: インスタンス単位 購入パターン1: Kubernetesクラスタ単位 ある単一のKubernetesクラスタ内で、 無制限にNGINX IC+WAFを デプロイすることが可能 Kubernetes Ingress Controllerや、その他 Kubernetes内の別のPodでWAFを動作させる場合。 増減が少なく必要な台数分の購入。 NGINX Plusライセンスの場合、用途を 限定せず自由な利用が可能
- 62. ©2022 F5 16 ご紹介
- 63. ©2022 F5 17 Copyright 2022 CASAREAL,Inc. All rights reserved. 「セキュアコーディングツールとしてのWAF」の 研修コースの開発を進めています! 基盤構築・運用 オンプレミス・旧来環境 クラウドネイティブ モダンな 「アプリケーション」開発 アプリ開発 モダンセキュアコーディング クラウドネイティブ 推進支援サービス クラウドネイティブ 道場 クラウドネイティブ 基盤構築・運用 アプリ開発 クラウドネイティブ 基盤構築・運用 ↔ アプリ開発 開発プロセス改善(自動化)・ クラウドネイティブ環境構築支援 クラウドネイティブ体験型研修 VM/Docker/K8S等 詳細は担当へ お問い合わせください 1日研修 × 7種類 あらゆるニーズに対応可! Kubernetes環境で実現するモダンな「セキュアコーディング」 Kubernetes管理者、セキュリティ担当者、開発者 • 手を動かして実際に攻撃→その結果を具体的に目で確認 • 「セキュアコーディング」(Dev視点)、「WAF」(SecOps視点)の両面を体験 • モダンなセキュアコーディング方法や、各チームの連携方法を理解 1日間(9:30~17:00 途中、昼休み1時間) 対象者 概要 期間 ※ 提供サービスは記載の内容から変更する可能性がございますことご了承ください 提供中サービス 鋭意開発中!!! チーム間の 柔軟な連携を 促進 https://www.casareal.co.jp/ls/service/openseminar/cloudnativedojo
- 64. ©2022 F5 18 お問い合わせフォーム • 製品に関するお問い合わせ • 購入に関するお問い合わせ • 構成・設計に関するご相談 など https://www.nginx.co.jp/contact-sales/ お気軽にお問い合わせください
- 65. ©2022 F5 19 無料トライアル https://www.nginx.co.jp/free-trial-request/ https://www.nginx.co.jp/free-trial-request-nginx-ingress-controller/ NGINX Plus, NGINX App Protect 無料トライアル NGINX Plusは、オールインワン型のソフトウェアロードバランサ、コンテンツ キャッシュ、Webサーバ、APIゲートウェイ、マイクロサービスプロキシです。 NGINX App Protectは、業界トップクラスのF5の高度なWAFテクノロジーを NGINX Plusに搭載し最新のアプリケーションセキュリティを提供します。 この2つの技術の融合により、最新の分散型環境におけるWeb/モバイルアプリケー ションの拡張性と保護が実現します。 NGINX Ingress Controller with NGINX App Protect 無料トライアル NGINX Plusで実現するNGINX Ingress Controllerは、軽量で、Kubernetesア プリケーションに最適な高度な機能を搭載するオールインワンソフトウェアです。 無料のNGINX Service Meshとも統合することが可能で、単一の構成でnorth- southとeast-westの両方のトラフィックを管理できます。高性能な機能で、本番環 境で利用するKubernetesに最適なアプリケーションデリバリを提供します。 NGINX Plus無料トライアル NGINX Ingress Controller 無料トライアル