NGINX モダン アプリケーション セキュリティで DevOps を安全に解放

今では、「DevSecOps」の概念は、アプリケーションのセキュリティを根本的に強化し、 DevOps チームとセキュリティ チーム間の摩擦を軽減することを約束しており、現代のソフトウェア開発に携わるほぼすべての人によく知られています。

DevSecOps モデルでは、セキュリティはシフトレフトされ、DevOps の開発および展開プロセスに直接組み込まれます。 特に、継続的インテグレーション/継続的デプロイメント (CI/CD) パイプラインの各フェーズにセキュリティが組み込まれているため、セキュリティ上の欠陥を早期に特定できます。 従来のセキュリティ モデルとは異なり、DevSecOps ではセキュリティを開発の中心に据え、問題を発生源の近くで特定し、コストのかかる (そして時間のかかる) 修正を減らし、脆弱性が本番環境に到達するのを防ぎます。

しかし、DevSecOps への推進にもかかわらず、セキュリティ チームは依然として DevOps のペースに遅れをとっているようです。 snyk のDevSecOps Insights 2020レポートによると、開発者の 48% が依然として、セキュリティがソフトウェアを迅速に提供する能力に対する大きな制約であると考えています。

アプリケーション セキュリティがまだ遅いのはなぜですか?

ほとんどの企業は自社のセキュリティ体制がどこにあるべきかを認識していますが、意図と現実はまったく異なるものです。 Contrast Security の 2020 年のDevSecOps の現状レポートによると、99% 以上の組織が、運用中のアプリケーションの平均に少なくとも 4 つの脆弱性があることを認めざるを得ず、また、ほぼ 80% が開発中のアプリケーションに 20 を超える脆弱性があると報告しています。 そのため、GitLab の2021 年グローバル DevSecOps 調査で調査対象となったセキュリティ チームの 70% が、セキュリティをシフトレフトし、開発者とこれまで以上に緊密に連携していると回答しているにもかかわらず、依然として重大なセキュリティ ギャップが残っていることは明らかです。

NGINX のお客様との会話を通じて、セキュリティ チームによる DevOps プラクティスの導入を遅らせたり妨げたりする 3 つの大きな課題が明らかになりました。

1. 常に変化する分散境界
   20 年前とは異なり、セキュリティ チームが、セキュリティ保護が容易な単一の境界だけを防御する任務を負うことはほとんどありません。 代わりに、最も迅速に反復処理できる環境、プラットフォーム、ツールを自由に選択できる DevOps チームによって開発および展開されたアプリを保護する必要があります。 DevOps の実践はイノベーションには最適ですが、API を介して相互に通信するさまざまなサービス、エンドポイント、デバイスを保護する必要があるセキュリティ専門家にとっては悪いニュースです。 実際、 GitLab の調査回答者のうち、マイクロサービスやコンテナなどの最新の開発戦略を使用して作成されたアプリを監視および保護するプロセスがあると答えたのは半数にすぎません。

2. セキュリティ ポリシーを自動化して CI/CD パイプラインに組み込むことができない
   異なるチーム間での変革は同じ速度で行われるわけではなく、セキュリティ チームが利用できる従来のツールのほとんどはシフトレフト環境向けに設計されていません。 その結果、セキュリティ チームは、自動化や最新のインフラストラクチャに適していないツールをパイプラインに適応させて統合せざるを得なくなります。 さらに悪いことに、これらのツールにはセルフサービス機能がないため、開発者や DevOps エンジニアは、セキュリティ部門がポリシーとプロセスの手動監査を完了するまで、先に進むのを待たなければなりません。

3. 一元的な可視性とセキュリティの洞察を得るのが難しい
   エンタープライズ アプリの大部分は分散されているだけでなく、所有領域も分散されており、それぞれが異なるツールを使用しています。 これにより、組織内のセキュリティ体制を統合的に把握することが非常に困難になります。 セキュリティ チームは、問題の根本原因を調査する代わりに、さまざまな場所からのデータを統合して相関させようとすることで時間を無駄にすることがよくあります。

そしてもちろん、ほとんどの企業は、ほんの一握りのアプリのためにこれらの障害を克服しているわけではありません。独自のテクノロジー スタック、ツールチェーン、プロセスを実行する複数のチームにまたがる何百もの製品とサービスを同時に管理しており、脆弱性が攻撃にさらされないようにするためには、これらすべてに監査とチェックが必要です。

プラットフォーム運用に目を向けるエンタープライズチーム

では、アプリケーション セキュリティ チームの俊敏性を高めながら、開発者が迅速かつ安全に作業を継続できるようにするには、何ができるでしょうか?

厳しい現実は、上で説明した課題に対処する方法を見つけられなければ、実践とプロセスを進化させることはできないということです。 より速く反復することは、誰もが望む勝利のように思えるかもしれませんが、DevOps をその潜在能力を最大限にまで拡張し続ける唯一の方法は、ソフトウェア開発ライフサイクル全体にわたってセキュリティを可能な限り摩擦のない、適応性の高いものにすることです。

ガートナーの先例に倣い、私たちが「プラットフォーム オペレーション」と呼ぶアプローチを採用する組織が増えています。 基本的なコンセプトは、企業内の社内チームの要件に合わせて構築されたプラットフォームを通じて DevOps 機能を提供することです。 社内プラットフォームを使用すると、冗長なタスクに時間を浪費する可能性が減るだけでなく、複数の製品チームが速度を低下させることなく継続的かつ効果的に共同作業できるようになります。

プラットフォーム オペレーション モデルでは、セキュリティ チームが開発チームにセルフサービスで使用可能なポリシーを提供します。 さらに、セキュリティ ツールはアプリケーション配信プロセスに完全に統合されています。 このようにして、開発者は、知識豊富なセキュリティ専門家が設定したベストプラクティス、ガバナンス、アクセス要件に従いながら、より迅速にデプロイすることができます。

アプリケーション セキュリティ チームにとっての大きなメリットは、Platform Ops によって、開発者がセキュリティを作業の妨げとしてではなく、すでに使用しているプロセスやツールに統合された一部として認識できる環境が構築されることです。 これにより、アプリ配信チームは、企業全体のセキュリティを強化するパターンを採用するようになります。

NGINXがどのように役立つか

NGINX では、開発プロセスのどこにでも簡単にシフトレフトしてセキュリティを実現し、CI/CD パイプラインと完全に統合できる Web アプリケーション ファイアウォール (WAF) などのツールを提供することの重要性を認識しています。 CPU を大量に消費したり、パフォーマンスを低下させたりしない軽量ソリューションも重要です。

また、セキュリティがゲートではなくガードレールである場合、開発チームと DevOps チームの満足度が大幅に向上することもわかっています。 セキュリティが共有のセルフサービス プラットフォーム上で強力で一貫性のある制御とポリシーを提供すると、開発チームとセキュリティ チームが最小限のやり取りと中断でガイドラインに沿って調整しやすくなります。

NGINX アプリケーション プラットフォームがそれを実現する仕組みは次のとおりです。

• NGINX App Protect WAF は、アプリを構築および管理しているあらゆる場所にデプロイできる軽量で最新の WAF です。 F5 の市場をリードする WAF テクノロジーを基盤とする App Protect WAF は、クラウド、ハイブリッド、マイクロサービスベースのコンテナ化、オンプレミスなど、アーキテクチャや導入環境に関係なく、 OWASP Top 10やその他の高度な脅威から保護します。 NGINX Plusの動的モジュールとして導入された App Protect WAF を使用すると、セキュリティ構成とポリシーを自動化して、CI/CD パイプライン内で直接プロビジョニングできるようになります。

• NGINX App Protect DoS は、サービス拒否 (DoS)攻撃を識別して防止するための自動化された適応型保護を提供します。 F5 のセキュリティ専門家が支援する App Protect DoS は、適応型機械学習と組み込みの異常検出を使用して、アプリケーション層攻撃からアプリケーションとマイクロサービスを保護します。 標的型攻撃を阻止する必要がある場合でも、不注意による誤った構成によってアプリのパフォーマンスが損なわれるのを防ぐだけの場合でも、App Protect DoS は、最新のアプリケーション アーキテクチャ、開発ツール、フレームワークにシームレスに統合されるゼロタッチ保護を提供します。

• コントローラー アプリケーション配信モジュール用の NGINX コントローラー アプリ セキュリティ<.htmla> アドオンを使用すると、運用とセキュリティ コンプライアンスを損なうことなく、開発者の生産性を向上させることができます。 Controller App Security は、マルチクラウド環境で実行される HTTP ベースのアプリと API 全体で標準化できる、信頼できるアプリ保護と集中化されたアプリ レイヤーの脅威の可視性を提供します。 また、セキュリティ チームは、開発者や DevOps チームがセルフサービス方式で利用してアプリにアプリ保護を簡単に追加できる、事前承認済みのガイドラインを提供することもできます。

• NGINX コントローラー API 管理モジュールの高度なセキュリティにより、最新のアプリケーションに分散 API セキュリティが実現します。

  • NGINX App Protect WAF は、API ゲートウェイと同じ場所に配置できるようになり、分散環境の API トラフィック管理とセキュリティが提供されます。 NGINX の分離アーキテクチャにより、データ プレーン (API ゲートウェイと NGINX App Protect WAF で構成) がコントロール プレーンに実行時に依存しなくなり、NGINX はオンプレミス、パブリック、プライベート、ハイブリッド クラウドでホストされている API にクラス最高の高パフォーマンスとセキュリティを提供します。
  • API 管理モジュール用のNGINX コントローラー アプリ セキュリティアドオンは、ベアメタル、VM、コンテナー、クラウド環境など、どこにでも展開された NGINX API ゲートウェイと強力なセキュリティをシームレスに統合します。 アドオンは、すぐに使用できる状態で、 OWASP API セキュリティ トップ 10 の脆弱性や、SQL インジェクション、リモート コマンド実行 (RCE) などのその他の脆弱性から保護します。 許可されたファイルの種類と応答ステータス コードを検証し、不正な形式の JSON、XML、Cookie をチェックします。 このアドオンは、攻撃を隠すために使用される回避技術も検出し、HTTP RFC への準拠を保証します。

セキュリティを簡単かつ簡単に実現する準備はできていますか?

NGINX App ProtectおよびNGINX Controllerを備えた NGINX Plus の 30 日間無料トライアルを開始し、クラウド ( AWS 、 Google Cloud Platform 、 Microsoft Azure ) での提供内容を確認し、インストラクター主導のクラス「NGINX App Protect 入門」に登録してください。