問題は、クラウドにいるかどうかではなく、いくつのクラウドにいるかです。 今日、ほとんどの企業は、「すべてに適合する 1 つのクラウド」ソリューションは存在しないことを認識しており、ハイブリッドまたはマルチクラウド アーキテクチャに移行しています。 F5 の2023 年のアプリケーション戦略の現状レポートのデータによると、企業の 85% が 2 つ以上の異なるアーキテクチャでアプリケーションを運用しています。
開発チームや API チームにとって、これは大きなプレッシャーとなります。 複雑な分散環境で大規模に API を安全に配信することが求められます。 接続は、クライアントとバックエンド サービス間だけではなく、異なるクラウド、リージョン、データ センター、またはエッジ ロケーションに展開されたアプリケーション間で行われるようになりました。 一方、API は、どこに展開されているか、また API の配信とセキュリティ保護にどのようなツールが使用されているかに関係なく、組織のセキュリティとコンプライアンスの要件を満たす必要があります。
このような高度に分散された環境で API を保護するには、独自の機能とベスト プラクティスが必要です。 以前、 API セキュリティに対する 2 つのアプローチの重要性について書きました。それは、最初からセキュリティを組み込むための「シフト レフト」と、一連のグローバルなポスチャ管理プラクティスによる「シールド ライト」です。 このブログ投稿では、クラウド、オンプレミス、エッジ環境全体で API を安全に配信しながら、その戦略を実践する方法について説明します。
ハイブリッドおよびマルチクラウド アーキテクチャには、特に俊敏性、スケーラビリティ、回復力の面で多くの明確な利点があります。 しかし、それらは複雑さをさらに増します。 実際、F5 の2023 年のアプリケーション戦略の現状レポートでは、複雑性の増大が今日の組織が直面している最も一般的な課題であることが示されています。 2番目によくある課題は何でしょうか? 一貫したセキュリティを適用します。
今日の問題は、特定のWAFなどの一部のセキュリティ ソリューションに、必要なコンテキストと保護 API が欠けていることです。 同時に、専用の API セキュリティ ソリューションには、攻撃を阻止するためのポリシーを作成して適用する機能がありません。 アーキテクチャとテクノロジーを、検出、観測、管理、適用にわたる相互接続されたスタックとして扱うソリューションが必要です。
実際には、API トラフィックが重要なインフラストラクチャ ポイントを通過するときに保護を提供するために、API セキュリティを 3 つの層に組み込む必要があります。
以下のリファレンス アーキテクチャは、 F5 Distributed Cloud Servicesと F5 NGINX が連携して、マルチクラウドおよびハイブリッド アーキテクチャで包括的な API 保護を提供する方法の概要を示しています。
このリファレンス アーキテクチャでは、F5 Distributed Cloud がエッジ、クラウド、オンプレミスの展開全体にわたってグローバルな保護層を提供します。 NGINX PlusとNGINX App Protect WAF は、ソフトウェア開発ライフサイクルに統合してランタイム セキュリティを強化することで、サイト層および/またはアプリ層できめ細かい保護を提供します。
このアーキテクチャの各コンポーネントによって提供されるセキュリティ保護について見てみましょう。
まず、パブリック クライアントからの API トラフィックは、エッジに展開されているF5 分散クラウド Web アプリケーションおよび API 保護 (WAAP)を通過します。 重要なのは、これにより、 DDoS 攻撃、ボットの悪用、その他の悪用から世界規模で保護されることです。 また、さまざまなクラウド、オンプレミス データ センター、エッジ デプロイメントに入る API トラフィックに関する重要なグローバルな可視性も提供します。
API トラフィックは急速に増加しており、ほとんどの API 攻撃は数週間から数か月かけてゆっくりと展開します。 大量の通常の API リクエストと応答の中から悪意のあるトラフィックを見つけるのは、干し草の山から針を見つけるようなものです。 この問題を解決するために、F5 Distributed Cloud は人工知能 (AI) と機械学習 (ML) を使用して、API の検出、エンドポイントのマッピング、新たな脅威となる可能性のある異常の積極的な学習と検出など、API トラフィックに関する洞察を生成します。
F5 Distributed Cloud WAAP は、アプリと API のセキュリティのグローバル層として機能し、次のような利点を提供します。
F5 Distributed Cloud WAAP を使い始めるには、API セキュリティ、ボット防御、エッジ コンピューティング、マルチクラウド ネットワーキングを含むF5 Distributed Cloud Services の無料エンタープライズ トライアルをリクエストできます。
API トラフィックがグローバル層を通過すると、サイト層やアプリ層に到達します。 グローバル層は通常、IT ネットワークおよびセキュリティ チームによって管理されますが、サイト層およびアプリ層の個々の API はソフトウェア エンジニアリング チームによって構築および管理されます。
アクセス制御に関しては、 API ゲートウェイが一般的な選択肢となります。これは、開発者が最も一般的なセキュリティ要件の一部を、アプリケーションの上位にある共有インフラストラクチャ層にオフロードできるためです。 これにより、重複した作業 (各開発者またはチームが独自の認証および承認サービスを構築するなど) が削減されます。
F5 NGINX Management Suite API Connectivity Manager を使用すると、プラットフォーム エンジニアリング チームと DevOps チームは、開発者がリクエスト チケットやその他の面倒なシステムに入力することなく、API ゲートウェイや開発者ポータルなどの共有インフラストラクチャへのアクセスを提供できます。
API Connectivity Manager を使用すると、セキュリティ ポリシーを設定して NGINX Plus を API ゲートウェイとして構成し、NGINX App Protect WAF ポリシーを構成および監視できます。 これらを組み合わせることで、次のような重要な API ランタイム保護が実現します。
NGINX API 接続スタックの 30 日間無料トライアルを開始して、NGINX Management Suite とその API 接続マネージャー、インスタンス マネージャー、セキュリティ監視モジュール、さらに API ゲートウェイとしての NGINX Plus と WAF および DoS 保護用の NGINX App Protect にアクセスできます。
NGINX は、クラウドおよびオンプレミスのデータセンター環境全体で優れたランタイム保護を提供します。 F5 Distributed Cloud と組み合わせると、セキュリティ チームとプラットフォーム エンジニアリング チームは、関連するアプリケーションがどこに展開されているかに関係なく、API エンドポイントを継続的に可視化できます。 F5 Distributed Cloud と NGINX を組み合わせることで、必要なあらゆる方法でアーキテクチャを構築し、保護するための完全な柔軟性が実現します。
「このブログ投稿には、入手できなくなった製品やサポートされなくなった製品が参照されている場合があります。 利用可能な F5 NGINX 製品およびソリューションに関する最新情報については、 NGINX 製品ファミリーをご覧ください。 NGINX は現在 F5 の一部です。 以前の NGINX.com リンクはすべて、F5.com の同様の NGINX コンテンツにリダイレクトされます。"