NGINX Ingress Controllerで実現するセキュリティ.pdf

NGINX Ingress Controller
♥ RedHat OpenShift
で実現するセキュリティ
〜 NGINXApp Protect WAF 〜
2023/01/25
F5 / Yoichi Komine
ver20221124

©2022 F5
2
課題
“すべて” のWebアプリケーションの
セキュリティレベルを向上させたい・・
エンジニアのレベル次第でアプリの
セキュリティレベルもばらばら・・
最低限OWASP TOP10、ファイルタ
イプチェックくらいやってほしい
みんな⼊⼒バリデーションチェック、
当然やってるよね・・
外注先、セキュリティを理解してい
るだろうか・・

©2022 F5
3
すべてのWebアプリをセキュアに

©2022 F5
4
セキュアなアプリケーション完成︕
安⼼してサービスリリース︕
Webアプリケーションのリリース
アプリケーション
OS / Platform
フレームワーク
Django、Ruby on Rails、CakePHP、
Laravel、Spark、Tomcat、etc
Python、Ruby、PHP、Java、JS、etc
静的解析（SAST）
• ソースコードを主に対応
• 早期に細かな問題に対処
• 対処の⽅法が明確
• ランタイムや環境の問題は⾒つけにくい
動的解析（DAST）
• 動作中アプリを主に対応
• 外部からの疑似攻撃により実害
の有無を判定
• ランタイムや環境の問題などを
発⾒することができる
セキュアなWebアプリケーション
⽳がない・・、だが
まだその時ではない・・
Dev
セキュアコーディング
Mod Mod Mod
新しいサービス︖︕

©2022 F5
5
⼤⼈気︕たくさんのユーザ︕
ユーザデータも集まり、より
機能が充実︕
Webアプリケーションの流⾏と拡⼤
OS / Platform
• リリース時から継続して完全性の⾼い解析へ
• リリース時のセキュアを保証
• 実サービスに影響が無いよう、
限定的な解析
Dev
Mod Mod Mod Mod Mod Mod
限定的
楽しい︕
便利︕
お⾦になるデータだ︕だが
まだその時ではない・・
⼈気に応じて
攻撃者も集まる

©2022 F5
6
脆弱性は突然に脆弱性︖︕
⼤量のアプリ・モジュール・・、
影響は・・、サービスは⽌めら
れない・・、どうすれば・・
OS / Platform
• コード解析のみ
• フレームワークの対処は困難
• 最新の攻撃を模倣し、対策を提
⽰するものではない
１分のサービス停⽌で100万円の損失
また、ブランドイメージの毀損は計り知れない
Dev
限定的
なんか最近
反応が悪いな・・
その時がきた︕︕
データ盗んで・・
サービス⽌めて・・
CVE 9.9

©2022 F5
7
必要なセキュリティ対策
OS / Platform
• コード解析のみ
• フレームワークの対処は困難
• 最新の攻撃を模倣し、対策を提
⽰するものではない
１分のサービス停⽌で100万円の損失
ブランドイメージの毀損は計り知れない
限定的
なんか最近
反応が悪いな・・
CVE 9.9
あれ・・
うまくいかないな・・
潮時かな・・
Sec
Dev
Ops
セキュリティ機能を構築
調査、計画、対処
モジュール、
何使ってる︖
Pythonで・・
Djangoで・・
バージョンは・・
攻撃は突然始まります。
普段の備えがなければ防げません。
1. まずは迅速に攻撃を遮断（WAF、etc）
2. アプリを調査し、影響度・対処⽅法を検
討して対策（セキュアコーディング）
２の恒久対策だけでなく、迅速に対処して
損失やブランドの毀損を最⼩限に抑えるべ
く、１の対策も必要です。
汎⽤的なポリシー
アプリ毎のポリシー

©2022 F5
8
堅牢なWebアプリケーション
OS / Platform
静的解析
（SAST）
動的解析
（DAST）
やっぱり
楽しい︕
便利︕
⼿間がかかるな・・
他に⾏こう・・
Sec
Dev Ops
限定的
ログ解析

©2022 F5
9
モダナイゼーションに伴うアプリの増加とセキュリティリスク
やっぱり
楽しい︕
便利︕
ん︖⽳がある︖
︖
Sec
Ops Dev
アプリ毎のチューニング、
もう限界では・・
危ないアプリ、増えてき
ている︖どうしよう・・

©2022 F5
10
対策すべき課題
OS / Platform
1. まずは迅速に攻撃を遮断（WAF、etc）
2. アプリを調査し、影響度・対処⽅法を検討
して対策（セキュアコーディング）
Sec
今はまだアプリも少ないしシンプルだから（１）
の対策も数⽇で可能だが・・
最近アプリの進化、マイクロサービス化も早いし、
セキュリティエンジニア増やすのは難しいし・・
このままだったら（１）も（２）も、数週間、い
や・・１ヶ⽉以上かかるかも・・、
もしもの場合被害は計り知れないな・・
エンジニアを増やさずに何とか迅速に対処する⽅
法はないだろうか・・
Dev 呼んだ︖

©2022 F5
11
アプリケーション型WAF
OS / Platform
NEW セキュアなWebアプリケーション
Sec
Dev
すべてのアプリにWAFを
組み込んで、セキュリティ
レベルを上げよう︕
チューニングはアプリチーム
にやってもらおう︕
え︕︖我々もWAFやるの︖
皆様がおもう従来のWAF
＝ゲートウェイ型WAF
今⽇のお話の新しいWAF
＝アプリ型WAF

©2022 F5
12
マイクロサービス時代のセキュリティ
クラウド・エッジ
DoS,FW,IPS,WAF,Bot,API,・・
汎⽤的な
ポリシー
アプリ毎のポリシー
アプリ間のEast-West
トラフィック
外部からの脅威に対して内部からの脅威に対して
場所や脅威が違えば
担当するチームも異なる
ゲートウェイ型WAF アプリ型WAF

©2022 F5
13
皆でWAFを習得しよう︕
開発エンジニアがWAFをマスターする、といういことではありません。
WAFの運⽤には⾮常に⾼度な専⾨知識が必要です。
⼀朝⼀⼣で⾝に付く知識ではありません。
アプリケーションの構成を把握している⼈が
スペシャリストのトレーニングや指導のもと
「開発エンジニアが（皆が） WAFを扱える」
「WAFが何をやっているのかを知る」
この２つの事が重要です。
D D
D
D D
S
D S
D
O
D
O
D
Sec
Ops
スペシャリスト
各チームへ、専⾨的な
教育や指⽰を⾏う
（多くの場合は開発エンジニア）
Webアプリケーション開発チーム
・全員がアーキテクチャを理解し、開発プロセス・構成を理解している
・チーム内のSec担当者がWAFのチューニングを⾏う
（多くのチームを兼任した結果アプリ環境の把握が困難、とならないようにする）
将来は
スペシャリストに・・

©2022 F5
14
理想的な対応
脆弱性が
出たぞー︕
アプリが30個ある・・
使っているアプリは・・
該当する設定か調べて・・
それぞれ個別チューニング
なので⼀括は難しく・・
優先度はこうで・・・
徹夜で対応して、なんとか５⽇以内
に対応完了⽬標で頑張ります・・・
Sec
or
Ops
Dev
・・・
何かやってあげたいが
何やったらいいかわからない
Log4j脆弱性対応
即⽇完了︕
皆さん、⼤好きなLog4jの脆弱性
です。
きっとほとんど使っているのでは
ないでしょうか。
今⼀度皆さんのアプリを⾒直して
ください。
該当する⽅は即対応してください。
詳細やチューニングはこちらです。
明⽇の10時、Git確認しますので、対応不
要でもコメントは残しておいてください。
それでは皆さん、
お願いします︕
D e v
はーい、やっておきます︕
Sec
Ops

©2022 F5
15
アプリ型WAFを実現する
NGINX App Protect WAF (NAP)

©2022 F5
16
WAF on OpenShift
NGINX App Protect WAF機能（＝ NAP）
• 世界中で実績が豊富なF5製WAFを移植
• 構成変更不要で、IngressでWAFを実⾏可能
• 前段のLB（BIG-IP等）からL7LBやセキュリティ
設定をNGINX Ingressに移すことで、ネット
ワークやセキュリティがブロッカーにならない理
想的なCICDサイクルを実現
• OWASP Top 10 シグネチャ & CVEs
• メタ⽂字チェック
• HTTPプロトコル標準
• Bot通信検知
• 不許可ファイルアップロード検知
(bin, cgi, cmd, com, dll, exe, msi, sys, shtm, shtml, stm等)
• セキュリティスコア検知
• Cookie改ざん
• JSON & XML⽂法
• Data Guard & 重要パラメータ
add-on

©2022 F5
17
k8sリソースとして扱える唯⼀のWAF
https://www.nginx.co.jp/resources/webinars/itmedia_use_case_webinar/

©2022 F5
18
k8sリソースとして扱える唯⼀のWAF（設定サンプル）
https://www.nginx.co.jp/resources/webinars/itmedia_use_case_webinar/
JSONでポリシーを作成してConfigMapで管理し、
CICDツールと連携してポリシーチューニングも可能

©2022 F5
19
Source: Datadog Container Report 2021
The Top Technologies
Running on Docker
Top Ingress Providers
CNCF Survey
Source: CNCF Survey 2020
コンテナプラットフォームに最適なNGINX
NGINXは知ってます︕
使ってまいす︕

©2022 F5
20
NGINX App Protect WAF パフォーマンス
0
0.5
1
1.5
2
2.5
Throughput (MB/sec)
No Protection NGINX App Protect ModSec
0
2000
4000
6000
8000
10000
12000
14000
Requests/sec
0
100
200
300
400
500
600
700
800
Latency (ms)
包括的なセキュリティポリシーはレイテンシに影響を与えず、
ModSecと⽐較してスループットとリクエスト/秒が向上します。
ModSec の設定。OWASP トップ 10 (すべての CRS 3v ルールを有効にする)
NGINX App Protectの設定。OWASPトップ10（署名を有効にする）、回避技術、データガード、許可されないファイルタイプ、HTTPプロトコル準拠

©2022 F5
21
NGINX App Protect WAF vs AWS vs Azure
NGINX App Protect WAF vs AWS WAF vs Azure WAF latency distribution
その他のWAFに⽐べ最もレイテンシが少ない、⾼速なWAF

©2022 F5
23
NGINX Security Monitoring
• SecOpsやWAFチーム向け、セキュリティ
イベント監視ダッシュボード
• 管理しているすべてのNGINX App Protect
のイベントを監視
• セキュリティイベントをフィルタリングし
、上位の違反や驚異に関する情報を表⽰
• Bot関連の驚異も同じダッシュボードに表⽰
• リクエストブロック時に発⾏されるサポー
トIDから特定のリクエストを特定し、詳細
な原因を瞬時に把握
• 追加ライセンス無しでご利⽤頂けます

©2022 F5
24
RedHat OpenShift Router / NGINX Ingress Controller活⽤のメリット
OpenShift Cluster
pod
外部ネットワークからの攻撃
柔軟な権限管理
(VS/VSR/Policy)
柔軟な通信制御
ヘッダー・Cookie
TCP/UDP対応
詳細なMetrics
・OpenTracing
OIDC・JWTによる
通信制御
シンプルな
HTTP/HTTPS
PATH Routing
シンプルなMetrics
・Prometheus
WAF/L7 DoS対策による⾼度
な防御 (※追加モジュール)
Circuit Breaker/帯域制御な
ど柔軟な流量制御
pod
Ingress
Controller
OpenShift
Router
NGINX Ingress ControllerはOpenShift Router が提供する機能に加え、
⾼度な通信制御機能・開発元によるパッチ提供が可能です。
OpenShift Router
NGINX Ingress
Controller
⾼度な通信制御機能⾼度なセキュリティ機能
シンプルなRate
Limit
製品開発メーカーのサポート・
セキュリティパッチの提供
メーカーサポート

NGINX Ingress Controllerで実現するセキュリティ.pdf

NGINX Ingress Controllerで実現するセキュリティ.pdf

More Related Content

Similar to NGINX Ingress Controllerで実現するセキュリティ.pdf

More from FumieNakayama

NGINX Ingress Controllerで実現するセキュリティ.pdf