ブログ | NGINX

NGINX と F5 分散クラウド WAAP によるマルチクラウド API セキュリティ

NGINX-F5 水平黒タイプ RGB の一部
アンドリュー・スティフェル サムネイル
アンドリュー・スティフェル
2023年8月1日公開

問題は、クラウドにいるかどうかではなく、いくつのクラウドにいるかです。 今日、ほとんどの企業は、「すべてに適合する 1 つのクラウド」ソリューションは存在しないことを認識しており、ハイブリッドまたはマルチクラウド アーキテクチャに移行しています。 F5 の2023 年のアプリケーション戦略の現状レポートのデータによると、企業の 85% が 2 つ以上の異なるアーキテクチャでアプリケーションを運用しています。

開発チームや API チームにとって、これは大きなプレッシャーとなります。 複雑な分散環境で大規模に API を安全に配信することが求められます。 接続は、クライアントとバックエンド サービス間だけではなく、異なるクラウド、リージョン、データ センター、またはエッジ ロケーションに展開されたアプリケーション間で行われるようになりました。 一方、API は、どこに展開されているか、また API の配信とセキュリティ保護にどのようなツールが使用されているかに関係なく、組織のセキュリティとコンプライアンスの要件を満たす必要があります。

このような高度に分散された環境で API を保護するには、独自の機能とベスト プラクティスが必要です。 以前、 API セキュリティに対する 2 つのアプローチの重要性について書きました。それは、最初からセキュリティを組み込むための「シフト レフト」と、一連のグローバルなポスチャ管理プラクティスによる「シールド ライト」です。 このブログ投稿では、クラウド、オンプレミス、エッジ環境全体で API を安全に配信しながら、その戦略を実践する方法について説明します。

ハイブリッドおよびマルチクラウド API セキュリティ リファレンス アーキテクチャ

ハイブリッドおよびマルチクラウド アーキテクチャには、特に俊敏性、スケーラビリティ、回復力の面で多くの明確な利点があります。 しかし、それらは複雑さをさらに増します。 実際、F5 の2023 年のアプリケーション戦略の現状レポートでは、複雑性の増大が今日の組織が直面している最も一般的な課題であることが示されています。 2番目によくある課題は何でしょうか? 一貫したセキュリティを適用します。

今日の問題は、特定のWAFなどの一部のセキュリティ ソリューションに、必要なコンテキストと保護 API が欠けていることです。 同時に、専用の API セキュリティ ソリューションには、攻撃を阻止するためのポリシーを作成して適用する機能がありません。 アーキテクチャとテクノロジーを、検出、観測、管理、適用にわたる相互接続されたスタックとして扱うソリューションが必要です。

実際には、API トラフィックが重要なインフラストラクチャ ポイントを通過するときに保護を提供するために、API セキュリティを 3 つの層に組み込む必要があります。

  • グローバル層– ボットやDoS攻撃からのエッジ保護、検出と可視性
  • サイト層– 個々のクラウド、データセンター、またはエッジ展開内の保護
  • アプリ層– API ランタイムの近くに展開されたきめ細かなアクセス制御と脅威保護

以下のリファレンス アーキテクチャは、 F5 Distributed Cloud Servicesと F5 NGINX が連携して、マルチクラウドおよびハイブリッド アーキテクチャで包括的な API 保護を提供する方法の概要を示しています。

F5 Distributed Cloud は、エッジ、クラウド、オンプレミスの展開全体にわたってグローバルな階層の保護を提供します。

このリファレンス アーキテクチャでは、F5 Distributed Cloud がエッジ、クラウド、オンプレミスの展開全体にわたってグローバルな保護層を提供します。 NGINX PlusNGINX App Protect WAF は、ソフトウェア開発ライフサイクルに統合してランタイム セキュリティを強化することで、サイト層および/またはアプリ層できめ細かい保護を提供します。

このアーキテクチャの各コンポーネントによって提供されるセキュリティ保護について見てみましょう。

F5 分散クラウドによる API 検出と監視

まず、パブリック クライアントからの API トラフィックは、エッジに展開されているF5 分散クラウド Web アプリケーションおよび API 保護 (WAAP)を通過します。 重要なのは、これにより、 DDoS 攻撃、ボットの悪用、その他の悪用から世界規模で保護されることです。 また、さまざまなクラウド、オンプレミス データ センター、エッジ デプロイメントに入る API トラフィックに関する重要なグローバルな可視性も提供します。

API トラフィックは急速に増加しており、ほとんどの API 攻撃は数週間から数か月かけてゆっくりと展開します。 大量の通常の API リクエストと応答の中から悪意のあるトラフィックを見つけるのは、干し草の山から針を見つけるようなものです。 この問題を解決するために、F5 Distributed Cloud は人工知能 (AI) と機械学習 (ML) を使用して、API の検出、エンドポイントのマッピング、新たな脅威となる可能性のある異常の積極的な学習と検出など、API トラフィックに関する洞察を生成します。

F5 Distributed Cloud WAAP は、アプリと API のセキュリティのグローバル層として機能し、次のような利点を提供します。

  • 自動 API検出– API を検出してマッピングし、サードパーティ API やシャドウ API、認証ステータスなどの可視性を含め、エコシステムを完全に把握します。
  • 機密データ漏洩防止- 社会保障番号、クレジット番号、その他の個人を特定できる情報 (PII) などの機密データを検出し、特徴付け、マスクして漏洩を防ぎます。
  • 監視と異常検出– AI および ML ツールを使用してトラフィックを継続的に検査および分析し、異常と脆弱性を検出します。
  • 強化された API 可視性- すべての API エンドポイント間でトラフィックがどのように流れるかを観察し、エッジ API、内部サービス、サードパーティ統合間の接続性を把握します。
  • 環境全体にわたるセキュリティの強化- スキーマ検証、レート制限、望ましくないトラフィックや悪意のあるトラフィックのブロックを強制することで、ポジティブ セキュリティ モデルを使用します。

F5 Distributed Cloud WAAP を使い始めるには、API セキュリティ、ボット防御、エッジ コンピューティング、マルチクラウド ネットワーキングを含むF5 Distributed Cloud Services の無料エンタープライズ トライアルをリクエストできます。

F5 NGINX によるアクセス制御とランタイム保護

API トラフィックがグローバル層を通過すると、サイト層やアプリ層に到達します。 グローバル層は通常、IT ネットワークおよびセキュリティ チームによって管理されますが、サイト層およびアプリ層の個々の API はソフトウェア エンジニアリング チームによって構築および管理されます。

アクセス制御に関しては、 API ゲートウェイが一般的な選択肢となります。これは、開発者が最も一般的なセキュリティ要件の一部を、アプリケーションの上位にある共有インフラストラクチャ層にオフロードできるためです。 これにより、重複した作業 (各開発者またはチームが独自の認証および承認サービスを構築するなど) が削減されます。

F5 NGINX Management Suite API Connectivity Manager を使用すると、プラットフォーム エンジニアリング チームと DevOps チームは、開発者がリクエスト チケットやその他の面倒なシステムに入力することなく、API ゲートウェイや開発者ポータルなどの共有インフラストラクチャへのアクセスを提供できます。

API Connectivity Manager を使用すると、セキュリティ ポリシーを設定して NGINX Plus を API ゲートウェイとして構成し、NGINX App Protect WAF ポリシーを構成および監視できます。 これらを組み合わせることで、次のような重要な API ランタイム保護が実現します。

  • アクセス制御の適用– API エンドポイントへのきめ細かなアクセス (認証と承認) を管理し、IP アドレスまたは JWT クレームに基づいてトラフィックを許可または拒否するアクセス制御リストを作成します。
  • 機密データの暗号化とマスク– mTLS とエンドツーエンドの暗号化を使用して API 間の通信を保護し、API 応答内のクレジットカード番号などの機密データを検出してマスクします。
  • 脅威を検出してブロック– 7,500 を超える脅威キャンペーンと攻撃シグネチャからの高度な保護により、 OWASP API セキュリティ トップ 10の保護を超えます。
  • WAF と API トラフィックを大規模に監視– NGINX App Protect WAF を使用してすべての API ゲートウェイの API トラフィックを視覚化し、誤検知と潜在的な脅威を検出します。

NGINX API 接続スタックの 30 日間無料トライアルを開始して、NGINX Management Suite とその API 接続マネージャー、インスタンス マネージャー、セキュリティ監視モジュール、さらに API ゲートウェイとしての NGINX Plus と WAF および DoS 保護用の NGINX App Protect にアクセスできます。

結論

NGINX は、クラウドおよびオンプレミスのデータセンター環境全体で優れたランタイム保護を提供します。 F5 Distributed Cloud と組み合わせると、セキュリティ チームとプラットフォーム エンジニアリング チームは、関連するアプリケーションがどこに展開されているかに関係なく、API エンドポイントを継続的に可視化できます。 F5 Distributed Cloud と NGINX を組み合わせることで、必要なあらゆる方法でアーキテクチャを構築し、保護するための完全な柔軟性が実現します。 

追加リソース

F5 NGINX に関するブログ投稿をもっと読む ›

「このブログ投稿には、入手できなくなった製品やサポートされなくなった製品が参照されている場合があります。 利用可能な F5 NGINX 製品およびソリューションに関する最新情報については、 NGINX 製品ファミリーをご覧ください。 NGINX は現在 F5 の一部です。 以前の NGINX.com リンクはすべて、F5.com の同様の NGINX コンテンツにリダイレクトされます。"