NGINX Ingress Controllerで実現するセキュリティ.pdf

NGINX Ingress Controller
♥ RedHat OpenShift
で実現するセキュリティ
〜 NGINXApp Protect WAF 〜
2023/01/25
F5 / Yoichi Komine
ver20221124

©2022 F5
2
課題
“すべて” のWebアプリケーションの
セキュリティレベルを向上させたい・・
エンジニアのレベル次第でアプリの
セキュリティレベルもばらばら・・
最低限OWASP TOP10、ファイルタ
イプチェックくらいやってほしい
みんな⼊⼒バリデーションチェック、
当然やってるよね・・
外注先、セキュリティを理解してい
るだろうか・・

©2022 F5
3
すべてのWebアプリをセキュアに

©2022 F5
4
セキュアなアプリケーション完成︕
安⼼してサービスリリース︕
Webアプリケーションのリリース
アプリケーション
OS / Platform
フレームワーク
Django、Ruby on Rails、CakePHP、
Laravel、Spark、Tomcat、etc
Python、Ruby、PHP、Java、JS、etc
静的解析（SAST）
• ソースコードを主に対応
• 早期に細かな問題に対処
• 対処の⽅法が明確
• ランタイムや環境の問題は⾒つけにくい
動的解析（DAST）
• 動作中アプリを主に対応
• 外部からの疑似攻撃により実害
の有無を判定
• ランタイムや環境の問題などを
発⾒することができる
セキュアなWebアプリケーション
⽳がない・・、だが
まだその時ではない・・
Dev
セキュアコーディング
Mod Mod Mod
新しいサービス︖︕

©2022 F5
5
⼤⼈気︕たくさんのユーザ︕
ユーザデータも集まり、より
機能が充実︕
Webアプリケーションの流⾏と拡⼤
OS / Platform
• リリース時から継続して完全性の⾼い解析へ
• リリース時のセキュアを保証
• 実サービスに影響が無いよう、
限定的な解析
Dev
Mod Mod Mod Mod Mod Mod
限定的
楽しい︕
便利︕
お⾦になるデータだ︕だが
まだその時ではない・・
⼈気に応じて
攻撃者も集まる

©2022 F5
6
脆弱性は突然に脆弱性︖︕
⼤量のアプリ・モジュール・・、
影響は・・、サービスは⽌めら
れない・・、どうすれば・・
OS / Platform
• コード解析のみ
• フレームワークの対処は困難
• 最新の攻撃を模倣し、対策を提
⽰するものではない
１分のサービス停⽌で100万円の損失
また、ブランドイメージの毀損は計り知れない
Dev
限定的
なんか最近
反応が悪いな・・
その時がきた︕︕
データ盗んで・・
サービス⽌めて・・
CVE 9.9

©2022 F5
7
必要なセキュリティ対策
OS / Platform
• コード解析のみ
• フレームワークの対処は困難
• 最新の攻撃を模倣し、対策を提
⽰するものではない
１分のサービス停⽌で100万円の損失
ブランドイメージの毀損は計り知れない
限定的
なんか最近
反応が悪いな・・
CVE 9.9
あれ・・
うまくいかないな・・
潮時かな・・
Sec
Dev
Ops
セキュリティ機能を構築
調査、計画、対処
モジュール、
何使ってる︖
Pythonで・・
Djangoで・・
バージョンは・・
攻撃は突然始まります。
普段の備えがなければ防げません。
1. まずは迅速に攻撃を遮断（WAF、etc）
2. アプリを調査し、影響度・対処⽅法を検
討して対策（セキュアコーディング）
２の恒久対策だけでなく、迅速に対処して
損失やブランドの毀損を最⼩限に抑えるべ
く、１の対策も必要です。
汎⽤的なポリシー
アプリ毎のポリシー

©2022 F5
8
堅牢なWebアプリケーション
OS / Platform
静的解析
（SAST）
動的解析
（DAST）
やっぱり
楽しい︕
便利︕
⼿間がかかるな・・
他に⾏こう・・
Sec
Dev Ops
限定的
ログ解析

©2022 F5
9
モダナイゼーションに伴うアプリの増加とセキュリティリスク
やっぱり
楽しい︕
便利︕
ん︖⽳がある︖
︖
Sec
Ops Dev
アプリ毎のチューニング、
もう限界では・・
危ないアプリ、増えてき
ている︖どうしよう・・

©2022 F5
10
対策すべき課題
OS / Platform
1. まずは迅速に攻撃を遮断（WAF、etc）
2. アプリを調査し、影響度・対処⽅法を検討
して対策（セキュアコーディング）
Sec
今はまだアプリも少ないしシンプルだから（１）
の対策も数⽇で可能だが・・
最近アプリの進化、マイクロサービス化も早いし、
セキュリティエンジニア増やすのは難しいし・・
このままだったら（１）も（２）も、数週間、い
や・・１ヶ⽉以上かかるかも・・、
もしもの場合被害は計り知れないな・・
エンジニアを増やさずに何とか迅速に対処する⽅
法はないだろうか・・
Dev 呼んだ︖

©2022 F5
11
アプリケーション型WAF
OS / Platform
NEW セキュアなWebアプリケーション
Sec
Dev
すべてのアプリにWAFを
組み込んで、セキュリティ
レベルを上げよう︕
チューニングはアプリチーム
にやってもらおう︕
え︕︖我々もWAFやるの︖
皆様がおもう従来のWAF
＝ゲートウェイ型WAF
今⽇のお話の新しいWAF
＝アプリ型WAF

©2022 F5
12
マイクロサービス時代のセキュリティ
クラウド・エッジ
DoS,FW,IPS,WAF,Bot,API,・・
汎⽤的な
ポリシー
アプリ毎のポリシー
アプリ間のEast-West
トラフィック
外部からの脅威に対して内部からの脅威に対して
場所や脅威が違えば
担当するチームも異なる
ゲートウェイ型WAF アプリ型WAF

©2022 F5
13
皆でWAFを習得しよう︕
開発エンジニアがWAFをマスターする、といういことではありません。
WAFの運⽤には⾮常に⾼度な専⾨知識が必要です。
⼀朝⼀⼣で⾝に付く知識ではありません。
アプリケーションの構成を把握している⼈が
スペシャリストのトレーニングや指導のもと
「開発エンジニアが（皆が） WAFを扱える」
「WAFが何をやっているのかを知る」
この２つの事が重要です。
D D
D
D D
S
D S
D
O
D
O
D
Sec
Ops
スペシャリスト
各チームへ、専⾨的な
教育や指⽰を⾏う
（多くの場合は開発エンジニア）
Webアプリケーション開発チーム
・全員がアーキテクチャを理解し、開発プロセス・構成を理解している
・チーム内のSec担当者がWAFのチューニングを⾏う
（多くのチームを兼任した結果アプリ環境の把握が困難、とならないようにする）
将来は
スペシャリストに・・

©2022 F5
14
理想的な対応
脆弱性が
出たぞー︕
アプリが30個ある・・
使っているアプリは・・
該当する設定か調べて・・
それぞれ個別チューニング
なので⼀括は難しく・・
優先度はこうで・・・
徹夜で対応して、なんとか５⽇以内
に対応完了⽬標で頑張ります・・・
Sec
or
Ops
Dev
・・・
何かやってあげたいが
何やったらいいかわからない
Log4j脆弱性対応
即⽇完了︕
皆さん、⼤好きなLog4jの脆弱性
です。
きっとほとんど使っているのでは
ないでしょうか。
今⼀度皆さんのアプリを⾒直して
ください。
該当する⽅は即対応してください。
詳細やチューニングはこちらです。
明⽇の10時、Git確認しますので、対応不
要でもコメントは残しておいてください。
それでは皆さん、
お願いします︕
D e v
はーい、やっておきます︕
Sec
Ops

©2022 F5
15
アプリ型WAFを実現する
NGINX App Protect WAF (NAP)

©2022 F5
16
WAF on OpenShift
NGINX App Protect WAF機能（＝ NAP）
• 世界中で実績が豊富なF5製WAFを移植
• 構成変更不要で、IngressでWAFを実⾏可能
• 前段のLB（BIG-IP等）からL7LBやセキュリティ
設定をNGINX Ingressに移すことで、ネット
ワークやセキュリティがブロッカーにならない理
想的なCICDサイクルを実現
• OWASP Top 10 シグネチャ & CVEs
• メタ⽂字チェック
• HTTPプロトコル標準
• Bot通信検知
• 不許可ファイルアップロード検知
(bin, cgi, cmd, com, dll, exe, msi, sys, shtm, shtml, stm等)
• セキュリティスコア検知
• Cookie改ざん
• JSON & XML⽂法
• Data Guard & 重要パラメータ
add-on

©2022 F5
17
k8sリソースとして扱える唯⼀のWAF
https://www.nginx.co.jp/resources/webinars/itmedia_use_case_webinar/

©2022 F5
18
k8sリソースとして扱える唯⼀のWAF（設定サンプル）
https://www.nginx.co.jp/resources/webinars/itmedia_use_case_webinar/
JSONでポリシーを作成してConfigMapで管理し、
CICDツールと連携してポリシーチューニングも可能

©2022 F5
19
Source: Datadog Container Report 2021
The Top Technologies
Running on Docker
Top Ingress Providers
CNCF Survey
Source: CNCF Survey 2020
コンテナプラットフォームに最適なNGINX
NGINXは知ってます︕
使ってまいす︕

©2022 F5
20
NGINX App Protect WAF パフォーマンス
0
0.5
1
1.5
2
2.5
Throughput (MB/sec)
No Protection NGINX App Protect ModSec
0
2000
4000
6000
8000
10000
12000
14000
Requests/sec
0
100
200
300
400
500
600
700
800
Latency (ms)
包括的なセキュリティポリシーはレイテンシに影響を与えず、
ModSecと⽐較してスループットとリクエスト/秒が向上します。
ModSec の設定。OWASP トップ 10 (すべての CRS 3v ルールを有効にする)
NGINX App Protectの設定。OWASPトップ10（署名を有効にする）、回避技術、データガード、許可されないファイルタイプ、HTTPプロトコル準拠

©2022 F5
21
NGINX App Protect WAF vs AWS vs Azure
NGINX App Protect WAF vs AWS WAF vs Azure WAF latency distribution
その他のWAFに⽐べ最もレイテンシが少ない、⾼速なWAF

©2022 F5
23
NGINX Security Monitoring
• SecOpsやWAFチーム向け、セキュリティ
イベント監視ダッシュボード
• 管理しているすべてのNGINX App Protect
のイベントを監視
• セキュリティイベントをフィルタリングし
、上位の違反や驚異に関する情報を表⽰
• Bot関連の驚異も同じダッシュボードに表⽰
• リクエストブロック時に発⾏されるサポー
トIDから特定のリクエストを特定し、詳細
な原因を瞬時に把握
• 追加ライセンス無しでご利⽤頂けます

©2022 F5
24
RedHat OpenShift Router / NGINX Ingress Controller活⽤のメリット
OpenShift Cluster
pod
外部ネットワークからの攻撃
柔軟な権限管理
(VS/VSR/Policy)
柔軟な通信制御
ヘッダー・Cookie
TCP/UDP対応
詳細なMetrics
・OpenTracing
OIDC・JWTによる
通信制御
シンプルな
HTTP/HTTPS
PATH Routing
シンプルなMetrics
・Prometheus
WAF/L7 DoS対策による⾼度
な防御 (※追加モジュール)
Circuit Breaker/帯域制御な
ど柔軟な流量制御
pod
Ingress
Controller
OpenShift
Router
NGINX Ingress ControllerはOpenShift Router が提供する機能に加え、
⾼度な通信制御機能・開発元によるパッチ提供が可能です。
OpenShift Router
NGINX Ingress
Controller
⾼度な通信制御機能⾼度なセキュリティ機能
シンプルなRate
Limit
製品開発メーカーのサポート・
セキュリティパッチの提供
メーカーサポート

NGINX Ingress Controllerで実現するセキュリティ.pdf

NGINX Ingress Controllerで実現するセキュリティ.pdf

Recommended

Recommended

More Related Content

Similar to NGINX Ingress Controllerで実現するセキュリティ.pdf

Similar to NGINX Ingress Controllerで実現するセキュリティ.pdf (20)

More from FumieNakayama

More from FumieNakayama (8)

Recently uploaded

Recently uploaded (15)

NGINX Ingress Controllerで実現するセキュリティ.pdf