NGINX App Protect が API エコシステムにセキュリティをもたらす
近年、API は現代のアプリ経済を構築するための事実上のアプローチとなっています。 これらのソフトウェア インターフェイスは、システム、applications、デバイスが通信し、膨大な範囲のデータと機能を共有できるようにする主な方法となっています。 本質的に、API は現代の情報シルクロードとなり、さまざまなベンダーの最高のツールを組み合わせたソリューションを実現する力を顧客に提供します。
MuleSoft の年次接続ベンチマークレポートで調査された組織のうち、80% がパブリック API またはプライベート API を使用しています。 報告されたメリットには、生産性の向上 (54%)、イノベーションの促進 (47%)、コスト削減 (34%) などがあります。 調査によると、API はそれを公開する企業に多大な収益をもたらしており、その額は平均して総収益の 31% に上ります。
しかしながら、すべてが順調というわけではありません。 F5 Labs の調査によると、2020 年上半期の API セキュリティ インシデント数は、過去 2 年間の合計件数を上回る見込みです。 DevOps チームが直面している大きな課題は、API エンドポイントでの認証の完全な欠如から、認証と承認の不備、基本的な構成ミスまで、API セキュリティに関する弱点が多数あることです。
ここで問題となるのは、すべての API アクティビティをどのように保護するかということです。 このブログでは、NGINX App Protectを中心とした「コードとしてのセキュリティ」アプローチが API を保護する鍵となり、信頼している他のセキュリティ ベンダーのソリューションとともに CI/CD パイプラインにシームレスに適合する方法について説明します。
APIは従業員とパートナーの両方に役立つ
ProgrammableWebの追跡によると、私たちが毎日利用するアプリを実現するために、20,000 を超えるプライベート、パートナー、パブリック API が使用されています。 API の魅力、さらには API が実行または接続されるコンテナベースのマイクロサービスの魅力は、従業員やすべての戦略的パートナーおよび商業パートナーを含む幅広いユーザーにソフトウェア機能とデータを公開できることです。 (当然ながら、このアプローチは DevOps チームにとっても魅力的です。特定のニーズに最適なベンダーを選択できるからです。)
たとえば、多くの企業はプライベート API やパートナー API を活用してセルフサービス IT を実現しています。IT 資産を検出および再利用可能にすることで、組織のより多くのメンバーが、DevOps に常に依存することなく、より多くのことを実行できるようになります。 セルフサービス IT は、適切に実施すれば、俊敏性の向上、市場投入までの時間の短縮、さまざまなベンダーを巻き込んだ顧客中心のソリューション、効率性、イノベーション、利益率の向上につながります。
このダイナミクスは開発と生産の面でも存在し、コンテナ化されたソフトウェアと API により、DevOps チームは幅広いパートナーとやり取りできるようになります。 これらには、 Okta 、 AuthO 、 Microsoftなどの ID およびアクセス管理(IAM) パートナーや、 MuleSoft 、 Akana 、 Kongなどのライフサイクル管理パートナーが含まれます。
コードとしてのセキュリティ、保護としてのポリシー
今日のペースが速く、動的な CI/CD 環境では、開発者と DevOps チームには、ソリューションを実装し、ソフトウェアを迅速かつ安全に起動するのに役立つapplicationセキュリティ ツールを備えた、 Web アプリと API を保護するための総合的なアプローチが必要です。 チームは、選択したアクセス管理およびライフサイクル管理パートナーと緊密に統合されたまま、コードを保護する必要があります。
過去数年間で DevOps が DevSecOps に変化するにつれて、セキュリティ自体をコードとして実装する動きが強まっています。 これは、企業がセキュリティをコーディングがすべて完了した後に付け加えるものではなく、新しいソフトウェアのあらゆる側面にセキュリティを組み込む必要性を認識し始めていることを言い換えただけです。 これには次のような慣行が含まれます。
- CI/CDパイプラインに直接組み込むことで、可能な限りセキュリティを自動化する
- セキュリティをゲートではなくガードレールとして構築する(つまり、アクセスを許可または拒否するのではなく、ガイダンスとツールを提供する)
- さまざまなパートナーと連携して、分散環境やコンテナ環境を含むあらゆる環境で、セキュリティ ソリューションが一貫性があり、集中管理され、セルフサービスで利用できるようにしています。
「セキュリティをコードとして」とは、セキュリティを単に最後に追加するのではなく、新しいソフトウェアのあらゆる側面にセキュリティを組み込むことを意味します。
最新のapplicationインフラストラクチャ向けの高度な API セキュリティ
F5 は、アプリのセキュリティを適応性、拡張性、信頼性のあるものにするためのセキュリティ アズ コードアプローチの主要な提唱者であり、NGINX App Protect はそれを実現する上で重要な役割を果たします。 NGINX App Protect は、API セキュリティと、市場をリードする高度な Webapplicationファイアウォール(Advanced WAF) およびボット保護の基本機能を組み合わせて、DevOps を支援します。
- セキュリティチームの承認を得た非破壊的なセキュリティ制御を自動化およびCI/CDプロセスに統合する
- コンテナやマイクロサービスなどの分散環境全体にアプリのセキュリティ制御を導入および管理する
- リリース速度やapplicationのパフォーマンスに悪影響を与えることなく、コスト効率の高いセキュリティ制御を実装します。
NGINX App Protect を使用すると、基盤となるインフラストラクチャに依存しない軽量ソフトウェア パッケージとしてapplicationセキュリティを展開できます。 したがって、ソフトウェア開発者は宣言型ポリシー (「コードとしてのセキュリティ」) を利用して、API ゲートウェイまたはその他の Ingress コントローラーに出入りするすべてのものを保護できます。 このモデルでは、API 自体がデフォルトで安全でない場合でも、NGINX App Protect によるセキュリティを、イングレス、Kubernetes ポッド内、またはサービス全体など、複数のポイントに適用できます。
F5 と NGINX は、お客様から優先される他の業界リーダーと協力し、世界中の DevOps チームですでに使用されているベンダーや製品を取り入れながら、applicationエコシステム全体に最先端のソリューションを提供することに取り組んでいます。
結論
API が情報共有のための新しいシルクロードとなり、これまでにない方法でユーザーとつながることが可能になるにつれ、NGINX App Protect は、あらゆる潜在的な脅威からアプリとデータを守ります。 NGINX App Protect は、パートナー エコシステムと緊密に統合する機能など、アプリの配信方法に合わせて設計されています。 DevOps 環境全体でシームレスに動作するこの業界をリードするソリューションは、DevOps 自動化および CI/CD プロセス全体に中断のないセキュリティ制御を統合し、アプリのセキュリティが後から追加されるか、間に合わせで追加されるのではなく、最初から組み込まれていることを保証します。
NGINX App Protect を実際に試してみませんか? 今すぐ30 日間の無料トライアルを開始するか、お問い合わせの上、使用事例についてご相談ください。
「このブログ投稿には、入手できなくなった製品やサポートされなくなった製品が参照されている場合があります。 利用可能な F5 NGINX 製品およびソリューションに関する最新情報については、 NGINX 製品ファミリーをご覧ください。 NGINX は現在 F5 の一部です。 以前の NGINX.com リンクはすべて、F5.com の同様の NGINX コンテンツにリダイレクトされます。"