• Share via AddThis

ソリューションの概要

F5 Advanced WAFによるDevOpsのためのセキュリティの自動化

F5 Advanced WAFによるDevOpsのためのセキュリティの自動化

現代の企業では、アプリケーションがデジタル戦略の中心となっています。F5 Labsの調査によると、企業は平均して983のアプリケーションを管理しており、これらのアプリケーションは複数のクラウドやデータ センタにわたっていることが多くなっています。最新のアプリケーションは、一般的に分散型アーキテクチャで設計され、アジャイル開発手法を用いてコンポーネントレベルまで構築されています。継続的インテグレーションと継続的デリバリ(CI/CD)のためのこのフレームワークにより、DevOpsはソフトウェアのライフサイクルを迅速かつ効率的に管理することができます。市場投入までの時間を主要なKPI(重要業績評価指標)とするDevOpsは、最新のワークフローと自動化を採用しています。しかし、セキュリティは、CI/CDのセキュリティ ワークフローから取り残されていることが多いのが現状です。

DevOps のワークフローにアプリケーション セキュリティ対策が含まれていないということは、アプリケーション コードと一緒にテストされていないことを意味します。その結果、アプリケーション セキュリティの欠陥は、開発サイクルの終了間際に実施される運用テストまで発見されない可能性があり、欠陥への対処にはより多くのコストがかかります。その結果、市場投入までの時間が大幅に遅れたり、修復コストが増加したり、セキュリティ管理が不十分になったりする可能性があります。

CI/CDプロセスの早い段階でセキュリティ テストを導入することは、アプリケーション チームとセキュリティ チームの間のギャップを解消するための最も効率的なソリューションです。そのためには、アプリケーション開発段階の一部として運用面でのセキュリティ テストを重視するという、文化的および技術的な変化が必要です。

F5 Advanced Web Application Firewallは、開発パイプラインの早い段階で、運用アプリケーションのセキュリティ テストを統合することを可能にします。これにより、パイプラインの早い段階で、機能仕様とセキュリティ ポリシーの両方を包括的にテストすることができます。DevOpsチームは、アプリケーションの開発中に、セキュリティ ポリシーまたはアプリケーション自体のセキュリティ上の欠陥を発見することができます。欠陥を発見した場合、チームはより効率的に、大幅に低いコストで修正を行うことができます。

主な特長

  • 宣言型APIベースの導入と構成により、DevOpsツールやワークフローとの統合が可能
     
  • SecOpsは、DevOpsのために読みやすいJSONファイルを使用して、セキュリティを「コード」として管理、提供することが可能
     
  • OpenAPIファイルの取り込みにより、APIセキュリティの自動設定をサポート
  • Webフック(Slack、Teamsなど)との統合により、DevOpsのコラボレーションを強化し、高度な自動化機能を実現
     
  • モジュール式のポリシーにより、ベースとなるセキュリティをアプリケーション間で共有し、アプリケーションごとにカスタム コントロールすることが可能
     
  • 共有ファイルの参照により、ポリシー オブジェクトをポリシー間で共有可能

主なメリット

  • 低コストで高いセキュリティ効率を実現し、アプリケーションをより早く市場に投入することができます
     
  • セキュリティ テストをアプリケーション開発パイプラインの左側(早い段階)にシフトさせ、より費用対効果の高い修復を実現します
  • SecOpsとDevOpsの間の運用上のギャップを解消します

Security as a Code

アプリケーション セキュリティを開発パイプラインに統合するには、宣言型APIを使用することで容易になります。これらのAPIコマンドは、自動化された開発パイプラインの一部として使用することができ、Advanced WAFの導入と構成を行うことができます。自動化は、GitLab、Jenkins、Bitbucketなど、DevOpsチームが既に使用しているツールを使ってインストルメント化することができます。

WAFのセキュリティ ポリシーは、同じ自動化プロセスを使って既存のWAFインスタンスにも適用することができます。セキュリティ ポリシーは、シンプルなJavaScript Object Notation(JSON)ファイルとして定義できます。このファイルには、通常、GitHubなどのリポジトリにあるWAFポリシーの名前と場所へのポインタを含めることができます。

このフレームワークを使用することで、SecOpsチームは、開発チームが簡単に利用できるセキュリティ ポリシーを作成、公開、維持することができます。ポリシーは、アプリケーションによって異なります。例えば、SecOpsチームは、Webアプリケーションにとって最も重要なセキュリティ リスクを定義したOWASP Top 10からアプリケーションを保護するためのベースライン ポリシーを持つことができます。また、機密データを扱うアプリケーションや金融取引を行うアプリケーションなど、追加の制御が必要なアプリケーションに対しては、別のポリシーを公開することができます。開発チームは、他のアプリケーション コードを使用するのと同様に、これらのポリシーを使用します。

DevSecOpsと自動化

図1:組織は宣言型APIを使用して、アプリケーション セキュリティを自動化された開発パイプラインに統合し、Advanced WAFの導入と構成を行うことができます。

セキュリティの「コード」に対する変更は、CI/CDパイプラインの自動化ツールセットによって自動的に統合、適用、テスト、構築されます。このアプローチは、セキュリティ管理をCI/CDパイプラインのさらに左側(早い段階)にシフトさせ、プロセス全体でセキュリティを共有することを可能にします。これにより、アプリケーションの他の部分と同様に、開発、テスト、品質保証、本番といった開発ライフサイクルのすべての段階で、一貫したセキュリティの実装が可能になります。

部門横断的なDevSecOpsチームは、ChatOps(Slackなど)の統合機能を追加して利用することで、効率を高め、常に同じページを見ているようにすることができます。しかし、ChatOpsはメッセージングやアラートだけではありません。パイプライン ツールと統合すると、ChatOpsはリアルタイムにDevOpsの進捗を提供し、Advanced WAFポリシーの更新などのパイプライン アクションを開始することもできます。

まとめ

Advanced WAFの詳細は、以下の方法でご確認ください。

次のステップ

トライアル版をスタート

無料トライアルでAdvanced WAFがどのように機能するかをご確認ください。

今日から始める

お問い合わせ

F5の製品とソリューションが、お客様の目標達成をどのように実現するかをご確認ください。

F5へのお問い合わせ