Submit Search
Upload
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
•
0 likes
•
404 views
N
NGINX, Inc.
Follow
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
Read less
Read more
Technology
Report
Share
Report
Share
1 of 61
Download now
Download to read offline
Recommended
【NGINXセミナー】API ゲートウェイとしてのNGINX Plus活用方法
【NGINXセミナー】API ゲートウェイとしてのNGINX Plus活用方法
NGINX, Inc.
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
Hitachi, Ltd. OSS Solution Center.
Redisの特徴と活用方法について
Redisの特徴と活用方法について
Yuji Otani
ぱぱっと理解するSpring Cloudの基本
ぱぱっと理解するSpring Cloudの基本
kazuki kumagai
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
何故 Okta を選んだか? 導入して体感したメリットとは?
何故 Okta を選んだか? 導入して体感したメリットとは?
Kyohei Komatsu
Cloud Spanner をより便利にする運用支援ツールの紹介
Cloud Spanner をより便利にする運用支援ツールの紹介
gree_tech
Recommended
【NGINXセミナー】API ゲートウェイとしてのNGINX Plus活用方法
【NGINXセミナー】API ゲートウェイとしてのNGINX Plus活用方法
NGINX, Inc.
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
Hitachi, Ltd. OSS Solution Center.
Redisの特徴と活用方法について
Redisの特徴と活用方法について
Yuji Otani
ぱぱっと理解するSpring Cloudの基本
ぱぱっと理解するSpring Cloudの基本
kazuki kumagai
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
何故 Okta を選んだか? 導入して体感したメリットとは?
何故 Okta を選んだか? 導入して体感したメリットとは?
Kyohei Komatsu
Cloud Spanner をより便利にする運用支援ツールの紹介
Cloud Spanner をより便利にする運用支援ツールの紹介
gree_tech
より速く より運用しやすく 進化し続けるJVM(Java Developers Summit Online 2023 発表資料)
より速く より運用しやすく 進化し続けるJVM(Java Developers Summit Online 2023 発表資料)
NTT DATA Technology & Innovation
初心者向けMongoDBのキホン!
初心者向けMongoDBのキホン!
Tetsutaro Watanabe
GraalVMのJavaネイティブビルド機能でどの程度起動が速くなるのか?~サーバレス基盤上での評価~ / How fast does GraalVM's...
GraalVMのJavaネイティブビルド機能でどの程度起動が速くなるのか?~サーバレス基盤上での評価~ / How fast does GraalVM's...
Shinji Takao
Keycloak拡張入門
Keycloak拡張入門
Hiroyuki Wada
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについて
Hiroyuki Wada
Mavenの真実とウソ
Mavenの真実とウソ
Yoshitaka Kawashima
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
Naohiro Fujie
単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介
AdvancedTechNight
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
tobaru_yuta
DockerとPodmanの比較
DockerとPodmanの比較
Akihiro Suda
クラウドネイティブ時代の分散トレーシング - Distributed Tracing in a Cloud Native Age
クラウドネイティブ時代の分散トレーシング - Distributed Tracing in a Cloud Native Age
Yoichi Kawasaki
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Akihiro Kuwano
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
NTT DATA Technology & Innovation
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
増田 亨
DynamoDBの初心者に伝えたい初めて触るときの勘所
DynamoDBの初心者に伝えたい初めて触るときの勘所
Ryo Sasaki
NTTデータ流Infrastructure as Code~ 大規模プロジェクトを通して考え抜いた基盤自動化の新たな姿~(NTTデータ テクノロジーカンフ...
NTTデータ流Infrastructure as Code~ 大規模プロジェクトを通して考え抜いた基盤自動化の新たな姿~(NTTデータ テクノロジーカンフ...
NTT DATA Technology & Innovation
【メモ】一般的に設計書に定義される項目例
【メモ】一般的に設計書に定義される項目例
Hirokazu Yatsunami
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal
Toru Makabe
Akkaとは。アクターモデル とは。
Akkaとは。アクターモデル とは。
Kenjiro Kubota
Istioサービスメッシュ入門
Istioサービスメッシュ入門
Yoichi Kawasaki
Secure Kubernetes Apps in Production (Japanese Webinar)
Secure Kubernetes Apps in Production (Japanese Webinar)
NGINX, Inc.
API and Modern App Security for Microservices
API and Modern App Security for Microservices
NGINX, Inc.
More Related Content
What's hot
より速く より運用しやすく 進化し続けるJVM(Java Developers Summit Online 2023 発表資料)
より速く より運用しやすく 進化し続けるJVM(Java Developers Summit Online 2023 発表資料)
NTT DATA Technology & Innovation
初心者向けMongoDBのキホン!
初心者向けMongoDBのキホン!
Tetsutaro Watanabe
GraalVMのJavaネイティブビルド機能でどの程度起動が速くなるのか?~サーバレス基盤上での評価~ / How fast does GraalVM's...
GraalVMのJavaネイティブビルド機能でどの程度起動が速くなるのか?~サーバレス基盤上での評価~ / How fast does GraalVM's...
Shinji Takao
Keycloak拡張入門
Keycloak拡張入門
Hiroyuki Wada
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについて
Hiroyuki Wada
Mavenの真実とウソ
Mavenの真実とウソ
Yoshitaka Kawashima
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
Naohiro Fujie
単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介
AdvancedTechNight
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
tobaru_yuta
DockerとPodmanの比較
DockerとPodmanの比較
Akihiro Suda
クラウドネイティブ時代の分散トレーシング - Distributed Tracing in a Cloud Native Age
クラウドネイティブ時代の分散トレーシング - Distributed Tracing in a Cloud Native Age
Yoichi Kawasaki
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Akihiro Kuwano
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
NTT DATA Technology & Innovation
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
増田 亨
DynamoDBの初心者に伝えたい初めて触るときの勘所
DynamoDBの初心者に伝えたい初めて触るときの勘所
Ryo Sasaki
NTTデータ流Infrastructure as Code~ 大規模プロジェクトを通して考え抜いた基盤自動化の新たな姿~(NTTデータ テクノロジーカンフ...
NTTデータ流Infrastructure as Code~ 大規模プロジェクトを通して考え抜いた基盤自動化の新たな姿~(NTTデータ テクノロジーカンフ...
NTT DATA Technology & Innovation
【メモ】一般的に設計書に定義される項目例
【メモ】一般的に設計書に定義される項目例
Hirokazu Yatsunami
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal
Toru Makabe
Akkaとは。アクターモデル とは。
Akkaとは。アクターモデル とは。
Kenjiro Kubota
Istioサービスメッシュ入門
Istioサービスメッシュ入門
Yoichi Kawasaki
What's hot
(20)
より速く より運用しやすく 進化し続けるJVM(Java Developers Summit Online 2023 発表資料)
より速く より運用しやすく 進化し続けるJVM(Java Developers Summit Online 2023 発表資料)
初心者向けMongoDBのキホン!
初心者向けMongoDBのキホン!
GraalVMのJavaネイティブビルド機能でどの程度起動が速くなるのか?~サーバレス基盤上での評価~ / How fast does GraalVM's...
GraalVMのJavaネイティブビルド機能でどの程度起動が速くなるのか?~サーバレス基盤上での評価~ / How fast does GraalVM's...
Keycloak拡張入門
Keycloak拡張入門
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについて
Mavenの真実とウソ
Mavenの真実とウソ
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
DockerとPodmanの比較
DockerとPodmanの比較
クラウドネイティブ時代の分散トレーシング - Distributed Tracing in a Cloud Native Age
クラウドネイティブ時代の分散トレーシング - Distributed Tracing in a Cloud Native Age
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
DynamoDBの初心者に伝えたい初めて触るときの勘所
DynamoDBの初心者に伝えたい初めて触るときの勘所
NTTデータ流Infrastructure as Code~ 大規模プロジェクトを通して考え抜いた基盤自動化の新たな姿~(NTTデータ テクノロジーカンフ...
NTTデータ流Infrastructure as Code~ 大規模プロジェクトを通して考え抜いた基盤自動化の新たな姿~(NTTデータ テクノロジーカンフ...
【メモ】一般的に設計書に定義される項目例
【メモ】一般的に設計書に定義される項目例
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal
Akkaとは。アクターモデル とは。
Akkaとは。アクターモデル とは。
Istioサービスメッシュ入門
Istioサービスメッシュ入門
Similar to 【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
Secure Kubernetes Apps in Production (Japanese Webinar)
Secure Kubernetes Apps in Production (Japanese Webinar)
NGINX, Inc.
API and Modern App Security for Microservices
API and Modern App Security for Microservices
NGINX, Inc.
NGINX Ingress Controller with WAF for Kubernetes
NGINX Ingress Controller with WAF for Kubernetes
NGINX, Inc.
NGINX Ingress Controller on RedHat OpenShift.pdf
NGINX Ingress Controller on RedHat OpenShift.pdf
FumieNakayama
Fundamentals of Microservices Japanese Webinar
Fundamentals of Microservices Japanese Webinar
NGINX, Inc.
Openshift NGINX Kubernetes (Japanese Webinar)
Openshift NGINX Kubernetes (Japanese Webinar)
NGINX, Inc.
NGINX Plus Hands On Training
NGINX Plus Hands On Training
NGINX, Inc.
Introducing NGINX App Protect (Japanese Webinar)
Introducing NGINX App Protect (Japanese Webinar)
NGINX, Inc.
NGINX Instance Manager Tames the Sprawl (Japanese version)
NGINX Instance Manager Tames the Sprawl (Japanese version)
NGINX, Inc.
NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」
NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」
Takaaki Suzuki
NGINX Kubernetes API
NGINX Kubernetes API
NGINX, Inc.
Why NGINX Plus/NGINX Controller for NGINX OSS users
Why NGINX Plus/NGINX Controller for NGINX OSS users
NGINX, Inc.
【NGINXセミナー】 Ingressを使ってマイクロサービスの運用を楽にする方法
【NGINXセミナー】 Ingressを使ってマイクロサービスの運用を楽にする方法
NGINX, Inc.
NGINX & OpenShift Webinar for Energy Sector
NGINX & OpenShift Webinar for Energy Sector
NGINX, Inc.
NGINX製品の最新機能アップデート情報
NGINX製品の最新機能アップデート情報
NGINX, Inc.
NGINX Back to Basics: Ingress Controller (Japanese Webinar)
NGINX Back to Basics: Ingress Controller (Japanese Webinar)
NGINX, Inc.
devsummit_nifcloud_vmware
devsummit_nifcloud_vmware
富士通クラウドテクノロジーズ株式会社
VMware が考えるコンテナと Kubernetes の世界
VMware が考えるコンテナと Kubernetes の世界
Yuichi Tamagawa
マルチクラウド環境の膨大なAPIトラフィックをリアルタイムに処理するNGINXの仕組み
マルチクラウド環境の膨大なAPIトラフィックをリアルタイムに処理するNGINXの仕組み
NGINX, Inc.
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
VirtualTech Japan Inc.
Similar to 【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
(20)
Secure Kubernetes Apps in Production (Japanese Webinar)
Secure Kubernetes Apps in Production (Japanese Webinar)
API and Modern App Security for Microservices
API and Modern App Security for Microservices
NGINX Ingress Controller with WAF for Kubernetes
NGINX Ingress Controller with WAF for Kubernetes
NGINX Ingress Controller on RedHat OpenShift.pdf
NGINX Ingress Controller on RedHat OpenShift.pdf
Fundamentals of Microservices Japanese Webinar
Fundamentals of Microservices Japanese Webinar
Openshift NGINX Kubernetes (Japanese Webinar)
Openshift NGINX Kubernetes (Japanese Webinar)
NGINX Plus Hands On Training
NGINX Plus Hands On Training
Introducing NGINX App Protect (Japanese Webinar)
Introducing NGINX App Protect (Japanese Webinar)
NGINX Instance Manager Tames the Sprawl (Japanese version)
NGINX Instance Manager Tames the Sprawl (Japanese version)
NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」
NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」
NGINX Kubernetes API
NGINX Kubernetes API
Why NGINX Plus/NGINX Controller for NGINX OSS users
Why NGINX Plus/NGINX Controller for NGINX OSS users
【NGINXセミナー】 Ingressを使ってマイクロサービスの運用を楽にする方法
【NGINXセミナー】 Ingressを使ってマイクロサービスの運用を楽にする方法
NGINX & OpenShift Webinar for Energy Sector
NGINX & OpenShift Webinar for Energy Sector
NGINX製品の最新機能アップデート情報
NGINX製品の最新機能アップデート情報
NGINX Back to Basics: Ingress Controller (Japanese Webinar)
NGINX Back to Basics: Ingress Controller (Japanese Webinar)
devsummit_nifcloud_vmware
devsummit_nifcloud_vmware
VMware が考えるコンテナと Kubernetes の世界
VMware が考えるコンテナと Kubernetes の世界
マルチクラウド環境の膨大なAPIトラフィックをリアルタイムに処理するNGINXの仕組み
マルチクラウド環境の膨大なAPIトラフィックをリアルタイムに処理するNGINXの仕組み
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
More from NGINX, Inc.
Get Hands-On with NGINX and QUIC+HTTP/3
Get Hands-On with NGINX and QUIC+HTTP/3
NGINX, Inc.
Managing Kubernetes Cost and Performance with NGINX & Kubecost
Managing Kubernetes Cost and Performance with NGINX & Kubecost
NGINX, Inc.
Manage Microservices Chaos and Complexity with Observability
Manage Microservices Chaos and Complexity with Observability
NGINX, Inc.
Accelerate Microservices Deployments with Automation
Accelerate Microservices Deployments with Automation
NGINX, Inc.
Unit 2: Microservices Secrets Management 101
Unit 2: Microservices Secrets Management 101
NGINX, Inc.
Unit 1: Apply the Twelve-Factor App to Microservices Architectures
Unit 1: Apply the Twelve-Factor App to Microservices Architectures
NGINX, Inc.
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
NGINX, Inc.
Easily View, Manage, and Scale Your App Security with F5 NGINX
Easily View, Manage, and Scale Your App Security with F5 NGINX
NGINX, Inc.
NGINXセミナー(基本編)~いまさら聞けないNGINXコンフィグなど基本がわかる!
NGINXセミナー(基本編)~いまさら聞けないNGINXコンフィグなど基本がわかる!
NGINX, Inc.
Keep Ahead of Evolving Cyberattacks with OPSWAT and F5 NGINX
Keep Ahead of Evolving Cyberattacks with OPSWAT and F5 NGINX
NGINX, Inc.
Install and Configure NGINX Unit, the Universal Application, Web, and Proxy S...
Install and Configure NGINX Unit, the Universal Application, Web, and Proxy S...
NGINX, Inc.
Protecting Apps from Hacks in Kubernetes with NGINX
Protecting Apps from Hacks in Kubernetes with NGINX
NGINX, Inc.
Successfully Implement Your API Strategy with NGINX
Successfully Implement Your API Strategy with NGINX
NGINX, Inc.
Installing and Configuring NGINX Open Source
Installing and Configuring NGINX Open Source
NGINX, Inc.
Shift Left for More Secure Apps with F5 NGINX
Shift Left for More Secure Apps with F5 NGINX
NGINX, Inc.
How to Avoid the Top 5 NGINX Configuration Mistakes.pptx
How to Avoid the Top 5 NGINX Configuration Mistakes.pptx
NGINX, Inc.
Kubernetes環境で実現するWebアプリケーションセキュリティ
Kubernetes環境で実現するWebアプリケーションセキュリティ
NGINX, Inc.
Software Delivery and the Rube Goldberg Machine: What Is the Problem We Are T...
Software Delivery and the Rube Goldberg Machine: What Is the Problem We Are T...
NGINX, Inc.
Open Sourcing NGINX Agent and Demo
Open Sourcing NGINX Agent and Demo
NGINX, Inc.
NGINX, Open Source, and You – Another Decade of Innovation
NGINX, Open Source, and You – Another Decade of Innovation
NGINX, Inc.
More from NGINX, Inc.
(20)
Get Hands-On with NGINX and QUIC+HTTP/3
Get Hands-On with NGINX and QUIC+HTTP/3
Managing Kubernetes Cost and Performance with NGINX & Kubecost
Managing Kubernetes Cost and Performance with NGINX & Kubecost
Manage Microservices Chaos and Complexity with Observability
Manage Microservices Chaos and Complexity with Observability
Accelerate Microservices Deployments with Automation
Accelerate Microservices Deployments with Automation
Unit 2: Microservices Secrets Management 101
Unit 2: Microservices Secrets Management 101
Unit 1: Apply the Twelve-Factor App to Microservices Architectures
Unit 1: Apply the Twelve-Factor App to Microservices Architectures
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
Easily View, Manage, and Scale Your App Security with F5 NGINX
Easily View, Manage, and Scale Your App Security with F5 NGINX
NGINXセミナー(基本編)~いまさら聞けないNGINXコンフィグなど基本がわかる!
NGINXセミナー(基本編)~いまさら聞けないNGINXコンフィグなど基本がわかる!
Keep Ahead of Evolving Cyberattacks with OPSWAT and F5 NGINX
Keep Ahead of Evolving Cyberattacks with OPSWAT and F5 NGINX
Install and Configure NGINX Unit, the Universal Application, Web, and Proxy S...
Install and Configure NGINX Unit, the Universal Application, Web, and Proxy S...
Protecting Apps from Hacks in Kubernetes with NGINX
Protecting Apps from Hacks in Kubernetes with NGINX
Successfully Implement Your API Strategy with NGINX
Successfully Implement Your API Strategy with NGINX
Installing and Configuring NGINX Open Source
Installing and Configuring NGINX Open Source
Shift Left for More Secure Apps with F5 NGINX
Shift Left for More Secure Apps with F5 NGINX
How to Avoid the Top 5 NGINX Configuration Mistakes.pptx
How to Avoid the Top 5 NGINX Configuration Mistakes.pptx
Kubernetes環境で実現するWebアプリケーションセキュリティ
Kubernetes環境で実現するWebアプリケーションセキュリティ
Software Delivery and the Rube Goldberg Machine: What Is the Problem We Are T...
Software Delivery and the Rube Goldberg Machine: What Is the Problem We Are T...
Open Sourcing NGINX Agent and Demo
Open Sourcing NGINX Agent and Demo
NGINX, Open Source, and You – Another Decade of Innovation
NGINX, Open Source, and You – Another Decade of Innovation
Recently uploaded
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
Recently uploaded
(10)
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
1.
NGINXのWAFとは? その使い方と設定方法 Hiroshi Matsumoto
2.
©2023 F5 2 NGINXの強み • 世の中でもっとも利用されているWebアプリケーション ソフトウェア •
コンテナ環境において最も利用されているOSSソフトウェア • リソースが少なく高速。安定した動作 • 多機能。幅広い環境で利用可能 大規模・重要な環境で最も利用されているソフトェアです NGINXとは、
3.
©2023 F5 3 NGINXの強み
4.
©2023 F5 4 コンテナプラットフォームに最適なNGINX Technology Source:
Datadog Container Report 2022 Top Ingress Providers CNCF Survey Source: CNCF Survey 2020 安定・高速動作がクラウドネイティブ環境に最適 実績
5.
©2023 F5 5 業界を限定しない幅広い実績 Tech Finance Media Service Provider Other あらゆるプラットフォームを「最適化」 実績
6.
©2023 F5 6 柔軟に拡張できる最高のパフォーマンス HARDWARE SPECS EXPECTED PERFORMANCE 2 CPU
cores 4 GB RAM 2x10 GbE NIC 74,000 RPS 9,100 SSL TPS (ECC) 4 Gbps throughput 4 CPU cores 8 GB RAM 2x10 GbE NIC 150,000 RPS 17,600 SSL TPS (ECC) 8 Gbps throughput 8 CPU cores 16 GB RAM 2x10 GbE NIC 300,000 RPS 33,000 SSL TPS (ECC) 8 Gbps throughput HARDWARE SPECS EXPECTED PERFORMANCE 2 CPU cores 4 GB RAM 2x1 GbE NIC 90,000 RPS 4,500 SSL TPS (ECC) 1 Gbps throughput 4 CPU cores 4 GB RAM 2x40 GbE NIC 175,000 RPS 8,500 SSL TPS (ECC) 5 Gbps throughput 8 CPU cores 4 GB RAM 2x40 GbE NIC 350,000 RPS 16,000 SSL TPS (ECC) 40 Gbps throughput 0 2000 4000 6000 8000 10000 12000 14000 16000 18000 ECC 0 50000 100000 150000 200000 250000 300000 350000 400000 RPS 0 5000 10000 15000 20000 25000 30000 35000 ECC 0 50000 100000 150000 200000 250000 300000 350000 RPS 2 Core 4 GB 4 Core 4 GB 8 Core 4 GB 2 Core 4 GB 4 Core 8 GB 8 Core 16 GB https://www.nginx.com/resources/datasheets/nginx-plus-sizing-guide/ https://www.nginx.com/resources/datasheets/nginx-ingress-controller-kubernetes/ ベアメタル:CPU/メモリに応じて様々な規模い柔軟に対応 Ingress Controller:アプライアンスに相当する高速・安定な処理 安定・拡張性
7.
©2023 F5 7 同時接続の処理能力 メモリ使用量 秒間リクエスト 処理数 https://www.nginx.com/blog/using-nginx-plus-web-server/ NGINXは同時コネクションが 増加した場合にも 高い性能を維持 NGINXは同時コネクション数 におけるメモリ消費を抑え安 定動作を実現 システム運用に求められる 「高負荷時」の安定性 同時コネクション増加時においても安定性・高速性を維持 安定・拡張性
8.
©2023 F5 8 幅広い環境で様々な用途で利用可能 CPU プライベートクラウド パブリッククラウド
コンテナ Linux/BS D Service App App リバース プロキシ ロード バランサー WEB サーバ キャッシュ サーバ APIGW 認証GW 多くの機能を自由に設定、必要な機能を即座に利用 WAF/ L7DoS AddOn 自由な構成
9.
©2023 F5 9 メーカーサポートの提供 NGINX OSS
NGINX Plusメーカーサポート 連絡窓口 NGINX Mailing List、 GitHubによるコミュニケーション F5が提供する「MyF5」という サポートサイトよりメーカ直接サポート SLA ー ○ 問い合わせ上限 ー ☓ (上限なし・無制限) 24/365 サポート ー ○ 日本語サポート ー ○ (ベストエフォート) 定期的なソフトウェア・アップデート ☓ ○ バグフィックス ☓ ○ 顧客向けホットフィックス提供 ☓ ○ デバッグ・エラー調査サポート ☓ ○ インストールサポート ☓ ○ テクニカルQA ☓ ○ 3rd Partyモジュールサポート ☓ ○ トラブルの安定対応。定期的なパッケージの提供により脆弱性に対処 メーカーサポート
10.
©2023 F5 10 NGINXのご紹介
11.
©2023 F5 11 F5 NGINX
製品一覧 Servics Overview NGINX Plus Dev/Opsに最適な超軽量で高速なデプロイが可能。Webサーバ、ロード バランサー、コンテンツキャッシュなど、多機能なAll-In-One Software NGINX Management Suite NGINX+統合管理ソフトウェア。NGINX+のAPI Gateway 更にマルチクラウド環境においても容易に管理が可能。 NGINX Instance Manager 指定したネットワーク内をスキャンしNGINX OSS、NGINX Plusを 管理。ヒストリカルなトラフィック・ステータス情報やコンフィグ、 証明書の一括管理を提供 NGINX App Protect WAF アプリケーションに特化したWeb Application Firewall NGINX+にシームレスに統合可能な新しいWAF。 F5の実績に基づき、 高速な高品質なWAFを実現 NGINX App Protect DoS 新世代DoS攻撃への対応 NGINX+にシームレスに統合可能な新しいDoS対策。従来のツールや戦 略では検知できないレイヤー7のDoS脅威から高度な保護を実現 NGINX Ingress Controller Kubernetes環境への外部アクセスをコントロール。 NGINX機能をIngressリソースを通じて管理可能。 NGINX Kubernetes Gateway 新たに定義されたGateway APIを通じて、データプレーンとして動作す るNGINXを制御。Kubernetesの高度な通信制御を提供。 NGINX for Azure NGINX PlusをAzureからSaaS環境として提供、コンフィグを貼り付ける だけで活用が可能 セ キ ュ リ テ ィ コ ン テ ナ All-In-One Software S a a S
12.
©2023 F5 12 Application Security
13.
©2023 F5 13 ビジネスは大きな変革を迎える APIs モダナイズされた環境ではアプリを 接続するAPIの利用が不可欠です。 このAPIが新たなターゲットとなり、 悪用されます マルチクラウド クラウドベンダーのロックインや アプリケーションの用途に合わせ 複数のクラウドを活用します すべてのクラウドに共通のセキュリティを 施すことは難しく課題となっています。 機密データ より多くのアプリケーションはインターネットを 通じオンラインのクラウドを活用します。 しかしアプリケーションの半数は 脆弱なままです。
14.
©2023 F5 14 0 2000 4000 6000 8000 10000 12000 14000 16000 2010 2011
2012 2013 2014 2015 2016 2017 2018 2019 YoY Increase in CVEs Note: Excludes any rejections or disputes. 常にソフトウェアの新しい 脆弱性が日々発見される 悪意のあるボットと人間の攻撃者の両方に 悪用されています。 自分のアプリケーションスタックに影響を与え る脆弱性がどれくらいあるか知っていますか? 公開されている脆弱性のペースに追いつくこ とができますか?
15.
©2023 F5 15 脆弱性は、組織がパッチを当てるよりも早く公開される High と
CriticalのCVEが公開される頻度・平均日数 1.4 0.9 0.6 0.2 0.3 1.7 0.8 0.5 0.4 0.5 0.0 0.5 1.0 1.5 2.0 2014 2015 2016 2017 2018 High Critical 9-12 HOURS
16.
©2023 F5 16 攻撃者に最も狙われる要素、 それがWeb Applicationです 3% 11% 33% 53% Other
(VPN, PoS, infra.) Physical User / Identity Web App Attacks
17.
©2023 F5 17 NGINX App
Protect WAF
18.
©2023 F5 18 NGINX App
Protect WAF ワールドワイドで実績豊富なF5製WAFの機能を移植 (Signature/DataGuard/HTTP Compliance/Evasion Techniques等) Secure Manage CI/CD Friendly NGINXの動的モジュールとして提供(現在、NGINX Plusのみ対応) • 仮想マシン/コンテナの双方で動作可能 • ゲートウェイ型/ホスト型 • Ingress Controller 軽量なため、CI/CDパイプライン上でのデプロイが容易
19.
©2023 F5 19 構成例
20.
©2023 F5 20 NGINX WAFのデプロイ構成 Gatweay
/ At Edge Ingress Controller Per-Service Proxy Per-Pod Proxy 担当者 NeOps/SecOps /DevSecOps NetOps/SecOps /DevSecOps DevSecOps DevOps スコープ サービス全体 サービス毎・URI毎 サービス毎 Endpoint毎 コスト・効率性 高/統合によるメリット 高/統合によるメリット 中 細かな設定 設定管理方法 nginx.conf K8s API nginx.conf nginx.conf Kubernetes Cluster pod Ingress Controller Gateway Load Balancer API Gateway Load Balancer pod ライブラリ・コンテナへ 悪意あるプログラム pod 外部ネットワークからの攻撃 Reverse Proxy Web App Server
21.
©2023 F5 21 NGINXユーザ会 2023春 NGINX
App Protect WAFで実現する、自然にセキュリティを組み込むCICDとは」 ー 株式会社日立製作所様
22.
©2023 F5 22 事例講演3 株式会社日立製作所様 「NGINX
App Protect WAFで実現する、自然にセキュリティを組み込むCICDとは」 アプリ型WAFを 実現するための各 チームの役割 自動化出来るので 負担は最小限 具体的なセキュリ ティポリシー設定 例と、それに伴う 組織の壁の課題 実際に現場を知ら ないと分析できな い課題で、大変貴 重なお話 セキュリティポリシー の管理パターン こちらも現場を知らな いとわからないお話 まさにアプリ型WAF の目指すべきゴール
23.
©2023 F5 23 NAP WAFの活用構成(CICDを使った導入) Kubernetes
Cluster / Container環境 Gateway Load Balancer API Gateway pod ライブラリ・コンテナへ 悪意あるプログラム pod 外部ネットワークからの攻撃 Web App Server Dev Dev え!?外部からの攻撃に 対する防御が完璧!? CICDパイプライン テンプレートで デプロイするだけ 共通ポリシー pod 共通ポリシー 追加ポリシー Ops Sec Dev 共通ポリシー OpenAPI チームの要件に応じて それぞれのチームが セキュリティポリシーを管理
24.
©2023 F5 24 顧客事例
25.
©2023 F5 25 Audi:NGINX Ingress
Controller + NAP WAF CONFIDENTIAL UP NGINX Plus Ingress Controller Service pod pod NGINX App Protect Service pod pod Service pod pod Cloud B Cloud A 物理・クラウドなど環境に 依存しないアプリケーション デリバリ環境 セルフサービス、自動化 による開発の生産性を向上 アプリケーション 利用者 アプリケーションデリバリに 調和し、最適なアジリティと セキュリティを実現 プラットフォーム アプリケーション開発 セキュリティ • AudiのIT部門が、同社全体にわたるデジタル・トランスフォーメーショ ンの主要な推進役となり、物理構成に依存せずアプリケーションを拡 張することを使命とする • ”一度作ったものをどこでも使えるようにする”という機能性をセキュリ ティポリシーにも実現する • セルフサービス&自動化の統合により、生産性を向上する • フルマネージド型のKubernetesプラットフォームであるKubika Oソリューションを開発 • DevOpsとSecOpsが効果的かつ調和的に運用でき、スピードやアジリティを損なうことなく、 Kubernetesアプリケーションをシームレスに保護することが可能 • アプリケーションのオーナーが、インフラについて心配する必要が全くなくなり、リアルタイムス キャンや脆弱性スキャンなどのインフラに関する問題は、すべてプラットフォームに組み込むこ とができ、セキュリティ評価の80%を完了した状態を実現 ビジネスゴール 結果・成果
26.
©2023 F5 26 本日ご紹介する ハンズオンラボ NGINX Plus
Lab セキュリティ編
27.
©2023 F5 27 NGXIN Lab
Guide • NGINX Plus Lab セキュリティ編 https://f5j-tech-info.readthedocs.io/ja/latest/content03/content3.html NGINX セットアップガイド・ラボガイド https://f5j-nginx-plus-lab2-security.readthedocs.io/en/latest/index.html
28.
©2023 F5 28 ラボ環境 Linux Linux Docker WEB Windows NGINX: Basic_Lab_JP
DNS Mask WEB Deploy!! GUI CLI RDP
29.
©2023 F5 29 NGINX Lab
たくさん準備できています https://f5j-tech-info.readthedocs.io/ja/latest/content03/content3.html お気軽にハンズオントレーニングご依頼ください
30.
©2023 F5 30 セキュリティ機能 WAF Functions
31.
©2023 F5 31 Basic App
Protect Configuration load_module modules/ngx_http_app_protect_module.so; http { server { listen 80; server_name localhost; proxy_http_version 1.1; index index.html index.htm; # NGINX App Protect on app_protect_enable on; app_protect_security_log_enable on; app_protect_security_log "/etc/nginx/log-default.json" syslog:server=elk:5144; location /application01 { root /usr/share/nginx/html; app_protect_policy_file "/etc/nginx/security-policy.json"; index index.html index.htm; } } } https://docs.nginx.com/nginx-app-protect/configuration/
32.
©2023 F5 32 Basic App
Protect Configuration { "policy":{ "name":"evasions_enabled", "template":{ "name":"POLICY_TEMPLATE_NGINX_BASE" }, "applicationLanguage":"utf-8", "enforcementMode":"blocking", "blocking-settings":{ "violations":[ { "name":"VIOL_JSON_FORMAT", "alarm":true, "block":true }, { "name":"VIOL_EVASION", "alarm":true, "block":true }, } "signature-settings": { "signatureStaging": false, "placeSignaturesInStaging": false, "attackSignatureFalsePositiveMode": "disabled", "minimumAccuracyForAutoAddedSignatures": "low" }, "server-technologies": [ { "serverTechnologyName": "MongoDB" }, { "serverTechnologyName": "Unix/Linux" }, { "serverTechnologyName": "PHP" } ] } }
33.
©2023 F5 33 主なセキュリティ機能 ① Protection
Mechanism Description Attack Signatures デフォルトのポリシーでOWASP top 10の攻撃パターンをカバーします。ユーザはSignature setを有効・無効にすることが可能です Signature attack for Server Technologies サーバテクノロジを選択し、適切なシグネチャセットを利用 Threat Campaigns 攻撃のキャンペーンとして知られるパターンを検出します。ご検知が少なく正確な対応が可能ですが、一連のキャンペーンに該当しない攻撃パ ターンは検出しません。この設定ではデフォルトで有効ですが、それぞれのViolationを無効にすることも可能です。 HTTP Compliance Body部を持つGET、Body部の無いPOSTを除いたすべてのHTTPに対するCompliance Checkがデフォルトで有効になります。デフォルトで 無効となっているうちいくつかは有効にすることも可能です。NGINXパーサーにて処理されるHTTP Versionが含まれないリクエストなどについて は、AppProtectでは検知のみ行います。これらのチェックは無効にすることはできません Evasion Techniques すべてのevasion techniquesがデフォルトで有効であり、それぞれの設定を無効にすることが可能です。この項目にはDirectory Traversal やBad Escaped Characterなどの攻撃が含まれます Data Guard レスポンスデータ内のクレジットカードとアメリカの社会保障番号をマスキング処理することが可能です。 デフォルトで無効となっており、有効にすることが可能です` Parameter parsing アルファベット・数字のプレーンテキスト、XML、JSON等、自動的に検知した型に応じて動作し、値の型を自動的をサポートします Disallowed meta characters パラメータ名、値、URL、ヘッダーなどJSON・XMLに含まれる内容を検知します。メタキャラクターやシグネチャやViolation等、複合的に判断し それらのRatingから攻撃の判定を行い、ブロックします。 Disallowed file type extension デフォルトで予め設定されたファイルタイプが無効となっています。 • bak, bat, bck, bkp, cfg, conf, config, ini, log, old, sav, save, temp, tmp • bin, cgi, cmd, com, dll, exe, msi, sys, shtm, shtml, stm • cer, crt, der, key, p12, p7b, p7c, pem, pfx • dat, eml, hta, htr, htw, ida, idc, idq, nws, pol, printer, reg, wmz Supported Security Policy Features:提供する主なセキュリティ機能
34.
©2023 F5 34 主なセキュリティ機能 ① Protection
Mechanism Description Cookie enforcement デフォルトですべてのクッキーが有効です。ユーザは特定のクッキーやワイルドカードまたは除外設定を指定でき、指定の内容に応じた処理がなさ れます。また、レスポンスの内、Cookieに関連する要素としてHttpOnly、Secure、SameSite等の属性に関する指定も可能です Sensitive Parameters デフォルトのポリシーではセキュリティログ上の「パスワード」をマスクします。更にパラメータを追加することが可能です。 JSON Content JSON Content ProfileはJSONの値に対し、シグネチャ、メタキャラクタ、不正な内容などの検出をします。デフォルトのポリシーでは、 パラメータ階層の深さをチェックします。その他に、サイズの制限、JSONデータの最大長、値の最大長、配列の最大長、JSONパー スの容認について設定が可能です。JSONスキーマの適用などサポートしていません。 XML Content XML Content ProfileはXMLの値に対し、シグネチャ、メタキャラクタ、不正な内容などの検出をします。Xデフォルトのポリシーでは、 パラメータ階層の深さをチェックします。その他に、サイズの制限、要素の最大数など指定が可能です。SOAP等、XML Schemaや Web Serviceはサポートしていません。 Allowed methods HTTPの許可するメソッドを指定可能です。デフォルトではすべてのHTTPメソッドが許可されています Black & White IP listing 個別に、IPアドレスの許可・拒否を指定することが可能です。 Trust XFF header デフォルトで無効になっています。個別にカスタムのXFFを指定し、制御することが可能です。 gRPC Content gRPC Content ProfileはgRPCの値に対し、シグネチャ、メタキャラクタ、不正な内容などの検出をします。把握されていないフィー ルドの禁止や、サイズの制限など可能です。gRPC APIの制御の場合にはnterface Definition Language (IDL) をポリシーに 割り当てる必要があります Large Request Blocking NGINX App Protect WAF 3.7 以前では10MB以上のリクエストが許可されていましたが、3.7以降拒否されるようになりました。 該当のVIOLATIONはVIOL_REQUEST_MAX_LENGTHとなります。 Supported Security Policy Features:提供する主なセキュリティ機能
35.
©2023 F5 35 主なセキュリティ機能 ② Protection
Mechanism Description Enforcement by Violation Rating デフォルトでは、驚異として判定される、Violation Rating 4,5 のリクエストを攻撃としてブロックします。この動作は変更することが 可能です。Violation Ratingによる制御や、Rating3を防御対象に加える等の設定が可能です。 Request size checks 最大バッファサイズの10MBで指定されるリクエストの各種上限。URL、ヘッダー、Query String、リクエスト全体(最大バッファサイ ズ以下の範囲で)、クッキー、POST Dataのサイズチェックを指定可能。デフォルトではリクエスト全体とPOST Dataを除くすべての チェックが有効となる。ユーザはそれぞれのチェックについて有効・無効の指定と、上限サイズの指定が可能 Malformed cookie デフォルトでは、RFCに従わないクッキーを含むリクエストをブロックする。これは無効にすることも可能 Status code restriction 4xx、5xxの範囲で不正なステータスコードを指定可能。デフォルトで、以下のみ許可される。 • 400, 401, 404, 407, 417, 503. ユーザはリストの修正、チェック機能の無効が可能。 Blocking pages ユーザにてBlocking Pageのカスタマイズが可能。デフォルトでAJAXページは無効。ユーザが機能を有効にすることが可能 Additional Policy Features:その他Policyに関する機能
36.
©2023 F5 36 主なセキュリティ機能 ③ Setting
JSON Property in Policy Support in NGINX App Protect Value in Default Profile Signature Sets signature-sets すべてが有効になっているセット 下記のSignature Set Listを参照してください Signatures signatures 適宜“Enable”Flagの変更が可能 Signature Setに含まれるSignatureはすべて 有効 Auto-Added signature accuracy minimumAccuracyForAutoAddedSign atures 変更可能 Low Configuring Attack Signatures:Attack Signatureに関する設定
37.
©2023 F5 37 シグネチャ設定 Default Template
で有効になっているSignature Set • Command Execution Signatures • Cross Site Scripting Signatures • Directory Indexing Signatures • Information Leakage Signatures • OS Command Injection Signatures • Path Traversal Signatures • Predictable Resource Location Signatures • Remote File Include Signatures • SQL Injection Signatures • Authentication/Authorization Attack Signatures • XML External Entity (XXE) Signatures • XPath Injection Signatures • Buffer Overflow Signatures • Denial of Service Signatures • Vulnerability Scanner Signatures • High Accuracy Signatures • CVE Signatures 多くが攻撃者からの攻撃に対するSignature Setとなる。すべての Signature SetでAlarmが有効、High Accuracy Signature のみBlockが有効で、その他のSignatureはBlock が無効 App Protect に含まれるBasic Signature Sets • All Response Signatures • All Signatures • Generic Detection Signatures • Generic Detection Signatures (High Accuracy) • Generic Detection Signatures (High/Medium Accuracy) • High Accuracy Signatures • Low Accuracy Signatures • Medium Accuracy Signatures • OWA Signatures • WebSphere signatures • HTTP Response Splitting Signatures • Other Application Attacks Signatures • High Accuracy Detection Evasion Signatures Default Templateには含まれていませんが、以下のような Signature setが提供されます
38.
©2023 F5 38 (参考)シグネチャ適応に指定可能なサーバテクノロジ Jenkins, SharePoint,
Oracle Application Server, Python, Oracle Identity Manager, Spring Boot, CouchDB, SQLite, Handlebars, Mustache, Prototype, Zend, Redis, Underscore.js, Ember.js, ZURB Foundation, ef.js, Vue.js, UIKit, TYPO3 CMS, RequireJS, React, MooTools, Laravel, GraphQL, Google Web Toolkit, Express.js, CodeIgniter, Backbone.js, AngularJS, JavaScript, Nginx, Jetty, Joomla, JavaServer Faces (JSF), Ruby, MongoDB, Django, Node.js, Citrix, JBoss, Elasticsearch, Apache Struts, XML, PostgreSQL, IBM DB2, Sybase/ASE, CGI, Proxy Servers, SSI (Server Side Includes), Cisco, Novell, Macromedia JRun, BEA Systems WebLogic Server, Lotus Domino, MySQL, Oracle, Microsoft SQL Server, PHP, Outlook Web Access, Apache/NCSA HTTP Server, Apache Tomcat, WordPress, Macromedia ColdFusion, Unix/Linux, Microsoft Windows, ASP.NET, Front Page Server Extensions (FPSE), IIS, WebDAV, ASP, Java Servlets/JSP, jQuery
39.
©2023 F5 39 • OSのパッケージ管理システムで管理 •
ダウングレードもバージョンを指定することで 容易に実施可能 • シグネチャ更新後、nginxプロセスのreloadで更 新が反映される • コンテナとして動作させる場合は、イメージの 再構築を行い、再構築時に更新シグネチャを適 応させる シグネチャアップデート
40.
©2023 F5 40 Bot シグネチャ •
Bot シグネチャは、User AgentやURIをベースに検知によって基本 的なBotをブロックします • Bot シグネチャはクラスに分けられており、trusted-bot、untrusted- bot、malicious-botなどがある • それぞれのクラスに応じて動作を指定することができる { "policy": { "name": "bot_defense_policy", "template": { "name": "POLICY_TEMPLATE_NGINX_BASE" }, "applicationLanguage": "utf-8", "enforcementMode": "blocking", "bot-defense": { "settings": { "isEnabled": true }, "mitigations": { "classes": [ { "name": "trusted-bot", "action": "alarm" }, { "name": "untrusted-bot", "action": "block" }, { "name": "malicious-bot", "action": "block" } ] } } } } 動作 意味 ignore 対象のシグネチャを無視する detect VIOLATIONとしては検知せず、通知のみとなる。その他 のVIOLATIONで通信が制御対象とならない限りlegalとし て扱われる alarm VIOLATIONを検知し、通知する。この通信はillegalとし て扱われる block VIOLATIONを検知し、通知および通信をブロックする https://docs.nginx.com/nginx-app-protect/configuration-guide/configuration/#bot-signatures
41.
©2023 F5 41 Bot シグネチャ
その他情報 Bot Name Description Ask Ask.com engine Baidu Baidu search engine Baidu Image Spider Baidu search engine for images Bing Microsoft Bing search engine BingPreview Microsoft Bing page snapshot generation engine Daum Daum search engine DuckDuckGo Bot DuckDuckGo search engine fastbot fastbot search engine Google Google search engine MojeekBot Mojeek search engine Yahoo! Slurp Yahoo search engine Yandex Yandex search engine YioopBot Yioop search engine • Trusted Bot • その他Bot例 • HTTP Library: curl • Spam Bot bot: meow, ANETInspect, OnlyScans, HonoluluBot, Search engine under construction, browsergetproto1.2 • Service Agent bot: YandeG, FGX-Web, Detectify, AndroidDownloadManager • Web Spider bot: DoCoMo 2.0, GGG • HTTP Library bot: Alamofire, PerlDAV, node-fetch • Crawler bot: CryptoAPI • Network Scanner bot: Exchange scanner • Exploit Tool bot: Exchange RCE Detector(CVE-2021-34473) • Vulnerability Scanner bot: Log4Shell detector • Crawler bot: ds9, coccoc • Exploit Tool bot: JNDI Exploit Bot
42.
©2023 F5 42 CONFIDENTIAL Response
Block Page https://docs.nginx.com/nginx-app-protect/configuration/ { "policy": { "name": "blocking_page", "template": { "name": "POLICY_TEMPLATE_NGINX_BASE" }, "applicationLanguage": "utf-8", "enforcementMode": "blocking", "response-pages": [ { "responseContent": "<html><head><title>Custom Reject Page</title></head><body>This is a custom response page, it is supposed to overwrite the default page with custom text.<br><br>Your support ID is: <%TS.request.ID()%><br><br><a href='javascript:history.back();'>[Go Back]</a></body></html>", "responseHeader": "HTTP/1.1 302 OK¥¥r¥¥nCache-Control: no- cache¥¥r¥¥nPragma: no-cache¥¥r¥¥nConnection: close", "responseActionType": "custom", "responsePageType": "default" } ] } } Default Block Page Custom Block Page "response-pages": [ { "responsePageType": "ajax", "ajaxEnabled": true, "ajaxPopupMessage": "My customized popup message! Your support ID is: <%TS.request.ID()%>" } ] "response-pages": [ { "responseContent": "", "responseHeader": "HTTP/1.1 403 FORBIDDEN¥r¥nContent-Type: application/grpc+proto¥r¥nGrpc-status: 7¥r¥nGrpc-message: Blocked by NGINX App Protect, Your support ID is <%TS.request.ID()%>¥r¥nSupport-ID: <%TS.request.ID()%>¥r¥nCache- Control: no-cache¥r¥nPragma: no-cache¥r¥nConnection: close", "responseActionType": "custom", "responsePageType": "default" } ] Ajax Block Page gRPC Block Page
43.
©2023 F5 43 その他機能 • External
References:Release 1.2 • Threat Campaigns:Release 1.2 • OpenAPI Specification File Reference:Release 2.0 • Bot Signatures:Release 2.1 • Multiple Security Logs Support:Release 3.2 • FQDNs are now permitted in syslog destinations:Release 3.3 • gRPC Protection for Bidirectional Streaming: Release 4.0 • Graph QL Protection: Release 4.2
44.
©2023 F5 44 性能 Performance
45.
©2023 F5 45 ModSecurityの性能比較 【比較条件】 ModSecurityでは OWASP
Core Rule Set(CRS) v3.0を有効化 NGINX App Protectでは OWASP Top 10対応シグネチャに加え、DataGuard/Disallowed file types, HTTP protocol compliance等のセキュリティ機 能を有効化
46.
©2023 F5 46 ロギング機能 Security Log
47.
©2023 F5 47 Security Log
Attribute Name Description attack_type A list of comma separated names of suspected attacks identified in a transaction. blocking_exception_reason The blocking exception reason when a configured violation was not blocked.| date_time The date and time the request was received by App Protect. dest_port The port assigned to listen to incoming requests. ip_client The source IP of the client initiating the request Note: if a proxy is being used, this may differ from the IP in the X-forwarded-for header. is_truncated A flag that returns TRUE if a request is truncated in the security logs. method The method of request. For example, GET, POST, HEAD. policy_name The name of the App Protect policy for which the violation was triggered. protocol The protocol used, either HTTP or HTTPS if terminating SSL on App Protect. request The entire request including headers, query string, and data. request_status •The status of client request made to Web Application as assigned by the App Protect policy. The possible values are:blocked: The request was blocked due to a violation encountered. A blocking response page was returned to the client. •alerted: The request contains violation(s) but is not blocked (typical in cases where the enforcement mode is set to transparent). •passed: A successful request with no violations. response_code The response code returned by the server. severity The maximum severity calculated from all violations found in the request. It is a static value coming from the Violations. sig_cves Signature CVEs value of the matched signatures. sig_ids Signature ID value of the matching signature that resulted in the violation. sig_names Signature name of the matching signature that resulted in the violation. sig_set_names The signature set names of the matched signatures. src_port The source port of the client. sub_violations Refers to the sub-violations detected under the ‘HTTP protocol compliance failed’ and the ‘Evasion technique detected’ violations. support_id A unique identifier for a transaction. unit_hostname host name of the app-protect instance uri The URI or Uniform Resource Identifier of the request. violation_details XML including details about each violation. violation_rating Estimation of the likelihood that the request is indeed a threat on a scale of 0 to 5: 0 - not a threat (no violations), 5 - most likely a threat vs_name A unique identifier of the location in the nginx.conf file that this request is associated with. It contains the line number of the containing server block in nginx.conf, the server name, a numeric discriminator that distinguishes between multiple entries within the same server, and the location name. For example: ’34-mydomain.com:0-~/.*php(2). x_forwarded_for_header_value X-Forwarded-For header information. This option is commonly used when proxies are involved to track the originator of the request. outcome •One of the following:PASSED: the request was sent to the backend server. •REJECTED: the request was blocked. outcome_reason •One of the following:SECURITY_WAF_OK: allowed with no violations (legal request). •SECURITY_WAF_VIOLATION: blocked due to security violations. •SECURITY_WAF_FLAGGED: allowed, although it has violations (illegal). violations Comma-separated list of logical violation names (e.g. “VIOL_ATTACK_SIGNATURES,VIOL_HTTP_PROTOCOL”) • App Protect独自にログを生成 • フィルタリングが可能 (all/illegal/blocked) • 右記属性を選択し出力可能 • syslog(TCP)にて出力
48.
©2023 F5 48 Custom Log https://docs.nginx.com/nginx-app-protect/troubleshooting/ { "filter":
{ "request_type": "all" }, "content": { "format": "default", "max_request_size": "any", "max_message_size": "5k" } } Simple Log "content": { "format": "user-defined", "format_string": "client_ip=%ip_client%,client_port=%src_port%,request=%request%,violations=%violations%,signature_ids=%sig_ids%", "max_request_size": "any", "max_message_size": "5k" } Log Message Key-Value Format "content": { "format": "user-defined", "format_string": "Request ID %support_id%: %method% %uri% received on %date_time% from IP %ip_client% had the following violations: %violations%", "max_request_size": "any", "max_message_size": "5k" } A Verbose Custom Format Message
49.
©2023 F5 49 App Protect
WAF Security Logの可視化 (ELKスタックとの組み合わせ) NGINX App Protect WAF Syslog/tcp
50.
©2023 F5 50 NGINX Ingress
Controller 設定 NGINX Ingress Controller Configuration
51.
©2023 F5 51 App Protect
WAF Policy Configuration Sample { "policy": { "name": "dataguard_blocking", "template": { "name": "POLICY_TEMPLATE_NGINX_BASE" }, "applicationLanguage": "utf-8", "enforcementMode": "blocking", "blocking-settings": { "violations": [ { "name": "VIOL_DATA_GUARD", "alarm": true, "block": true } ] }, "data-guard": { "enabled": true, "maskData": true, "creditCardNumbers": true, "usSocialSecurityNumbers": true, "enforcementMode": "ignore-urls-in-list", "enforcementUrls": [] } } } apiVersion: appprotect.f5.com/v1beta1 kind: APPolicy metadata: name: dataguard-blocking spec: policy: name: dataguard_blocking template: name: POLICY_TEMPLATE_NGINX_BASE applicationLanguage: utf-8 enforcementMode: blocking blocking-settings: violations: - name: VIOL_DATA_GUARD alarm: true block: true data-guard: enabled: true maskData: true creditCardNumbers: true usSocialSecurityNumbers: true enforcementMode: ignore-urls-in-list enforcementUrls: []
52.
©2023 F5 52 App Protect
WAF Log Configuration Sample { "filter": { "request_type": "all" }, "content": { "format": "default", "max_request_size": "any", "max_message_size": "5k" } } apiVersion: appprotect.f5.com/v1beta1 kind: APLogConf metadata: name: logconf spec: filter: request_type: all content: format: default max_request_size: any max_message_size: 5k https://docs.nginx.com/nginx-ingress-controller/app-protect/configuration/
53.
©2023 F5 53 App Protect
WAF Configuration Sample apiVersion: k8s.nginx.org/v1 kind: VirtualServer metadata: name: webapp spec: host: webapp.example.com policies: - name: waf-policy upstreams: - name: webapp service: webapp-svc port: 80 routes: - path: / action: pass: webapp apiVersion: k8s.nginx.org/v1 kind: Policy metadata: name: waf-policy spec: waf: enable: true apPolicy: "default/dataguard-alarm" securityLog: enable: true apLogConf: "default/logconf" logDest: "syslog:server=127.0.0.1:514" apiVersion: appprotect.f5.com/v1beta1 kind: APLogConf metadata: name: logconf spec: content: format: default max_message_size: 64k max_request_size: any filter: request_type: all apiVersion: appprotect.f5.com/v1beta1 kind: APPolicy metadata: name: dataguard-alarm spec: policy: signature-requirements: - tag: Fruits signature-sets: - name: apple_sigs block: true signatureSet: filter: tagValue: Fruits tagFilter: eq ※省略※ template: name: POLICY_TEMPLATE_NGINX_BASE apiVersion: appprotect.f5.com/v1beta1 kind: APUserSig metadata: name: apple spec: signatures: - accuracy: medium attackType: name: Brute Force Attack description: Medium accuracy user defined signature with tag (Fruits) name: Apple_medium_acc risk: medium rule: content:"apple"; nocase; nginx-ingress pod NGINX Config VS : webapp Host : webapp.example.com Policy : waf-policy waf: enable, apPolicy, waf-policy securityLog: enable, apLogConf, logDest webapp-svc:80 APPolicy : dataguard-alarm policy: signature-requirements, signature-sets, name, template, data-guard enforcementMode 等 APUserSig : waf-policy signatures, tag APLogConf : logconf content, filter
54.
©2023 F5 54 その他参考情報
55.
©2023 F5 55 言語に応じてケースオープン後のフローが異なります F5 NGINX
Plus サポートフロー 日本語で ケースオープン 英語で ケースオープン NGINX Plus 利用者 MyF5 .com チケットオープン チケットオープン 日本語サポート:平日日中 9:00 – 18:00(ベストエフォート) 通常NGINXサポート(英語):24時間365日(お客様ご契約内容のSLAに準じます) F5 NGINX サポート F5JP サポート F5 NGINX サポート 必要に応じて問い合わせ可 (平日日中 9:00 – 18:00) NGINX Plus 利用者 MyF5 .com F5JP サポート
56.
©2023 F5 56 サブスクリプションによりカバーされるサポート内容 特徴 スタンダード プレミアム 重要度が比較的低く、長めの回答時間が 許容される、NGINXおよびNGINX
Plus の本番環境デプロイメント向けサポート すべてのエンタープライズアプリケー ションまたは本番環境のデフォルトスタ ンダード インシデント数 無制限 無制限 サポート時間 営業時間(平日日中帯) 24時間 Emailサポート 英語対応 *日本語対応 (平日9:00-18:00) 英語対応 *日本語対応 (平日9:00-18:00) 電話サポート 英語対応 *日本語対応 (平日9:00-18:00) 英語対応 *日本語対応 (平日:9:00-18:00) 応答時間 英語 – 30分~24時間以内 日本語 - ベストエフォート 英語 - 30分~24時間以内 日本語 – ベストエフォート マニュアルに関する質問回答 24時間 24時間 ホットバグ修正 対応可 対応可 ソフトウェアアップデート メジャー、マイナー共に対応 メジャー、マイナー共に対応 サードパーティーモジュール サポート ◯ ◯ NGINX Unit - ◯ https://www.nginx.co.jp/support/ 推奨
57.
©2023 F5 57 お問い合わせフォーム • 製品に関するお問い合わせ •
購入に関するお問い合わせ • 構成・設計に関するご相談 など https://www.nginx.co.jp/contact-sales/ お気軽にお問い合わせください
58.
©2023 F5 58 https://f5j-nginx-plus-trial.readthedocs.io/ NGINXプロダクトのトライアル手順をまとめております。 こちらを参考にご希望のプロダクトをお客様環境でお試しください。 無料トライアル
59.
©2023 F5 59 O’REILLY NGINXクックブック設定レシピ集(日本語版) https://www.nginx.co.jp/resources/ebooks/nginx-cookbook-jp/
60.
©2023 F5 60 NGINXドキュメント/コンテンツ https://nginx.co.jp/ NGINX日本語サイト https://nginx.org/en/docs/ https://nginx.org/en/docs/dirindex.html NGINX OSS
/ Directive / Variable etc. (各種マニュアル)
Download now