블로그 | NGINX

F5 및 NGINX WAF 정책을 Controller 앱 보안에 적용

NGINX-F5-수평-검정-유형-RGB의 일부
Daphne Won 썸네일
다프네 원
2021년 9월 15일 게시

NGINX가 2년 전 F5에 가입한 이후, 고객이 얻은 가장 큰 이점 중 하나는 F5의 업계 최고 수준의 보안 전문 지식이 NGINX 제품에 통합되었다는 것입니다. F5 NGINX App Protect WAFF5 NGINX Controller App Security는 F5 Advanced WAF , F5 Silverline WAF 및 기타 F5 보안 솔루션과 동일한 웹 애플리케이션 방화벽(WAF) 기술을 활용합니다. 각 제품은 특정 환경, 배포 시나리오, 관리 사용 사례를 지원하는 서로 다른 폼 팩터를 갖고 있지만, 고객은 가장 진보된 웹 공격으로부터 자신을 보호해 주는 것으로 알려지고 신뢰할 수 있는 동일한 보안 강화 엔진을 확신할 수 있습니다.

NGINX 및 F5 보안 솔루션은 F5의 업계 최고 WAF 기술을 활용합니다.

공유 WAF 기술은 F5 고객이 F5 Advanced WAF와 같은 제품을 사용하는 기존 환경에서 NGINX App Protect WAF가 더 적합한 컨테이너화 및 클라우드 환경으로 마이그레이션할 때 보안 팀에서 이미 승인한 표준화된 정책을 유지할 수 있다는 것을 의미합니다. WAF 정책은 제품 간 이동이 가능하므로 F5 및 NGINX 고객은 강력하고 일관되며 규정을 준수하는 보안 태세를 빠르고 쉽게 보장할 수 있습니다.

애플리케이션 전송 모듈용 NGINX Controller App Security를 출시했을 때 최소한의 오탐지로 OWASP Top 10 및 기타 위협으로부터 보호하는 데 중점을 둔 기본 정책이 제공되었습니다. Application Delivery Module의 버전 3.20용 Controller App Security를 사용하면 이제 사용자 지정 NGINX App Protect WAF 정책을 가져와서 모든 관리형 배포에 배포할 수 있습니다. 이것을 Bring Your Own NGINX App Protect WAF 정책 (BYO App Protect 정책)이라고 부릅니다.

자세히 알아보려면 계속 읽고 이 비디오 개요를 확인하세요.

앱 현대화 여정 전반에 걸쳐 일관된 WAF 정책 유지

기존의 애플리케이션 제공 환경을 사용하는 많은 고객은 F5 Advanced WAF 또는 BIG-IP ASM을 사용하여 시작합니다. 앱 현대화 여정을 진행하면서 WAF 서비스 배포에 DevOps에 맞춰진 접근 방식이 필요한 새 앱에 대해 NGINX App Protect 및 NGINX Controller App Security를 활용할 수 있습니다.

NGINX App Protect WAF는 그 자체로 OWASP Top Ten 및 기타 고급 위협에 대한 방어부터 간소화된 선언적 정책 정의에 이르기까지 다양한 기능을 제공하여 최신 앱을 보호합니다. NGINX App Protect WAF 인스턴스를 관리하기 위해 Controller App Security를 채택하면 다음과 같은 추가 이점이 있습니다.

  • 보안팀은 기본 제공 가시성을 개선하고, Dev 및 DevOps팀에 승인된 WAF 정책과 NGINX App Protect WAF 인스턴스의 셀프 서비스 프로비저닝 및 관리를 제공할 수 있습니다. 더 나은 점은 단일 Controller 인스턴스가 여러 팀을 지원할 수 있다는 것입니다.
  • 개발 및 DevOps 팀은 이미 익숙한 Controller API와 GUI를 사용하여 데이터 플레인에서 정책을 시행하는 NGINX App Protect WAF 인스턴스의 정책이나 구성에 대한 심층적인 이해가 필요 없이 승인된 WAF 정책을 앱에 적용할 수 있습니다.
관리 평면에서 작동하는 NGINX Controller App Security Add-On과 데이터 평면에서 작동하는 NGINX App Protect WAF를 보여주는 토폴로지 다이어그램
Controller App Security는 NGINX App Protect WAF를 사용하여 데이터 플레인에서 정책을 시행합니다.

컨트롤러 앱 보안을 위한 F5 WAF 정책 준비

앱 현대화 과정을 진행하는 동안 모든 F5 및 NGINX WAF 구현에서 일관된 정책을 유지할 수 있도록 NGINX App Protect 정책 변환기를 제공합니다. F5 Advanced WAF 정책(XML 형식)을 NGINX App Protect WAF 정책(JSON 형식)으로 변환합니다. 그런 다음 다음 섹션 에 설명된 대로 변환된 정책을 Controller App Security에 전달할 수 있습니다.

F5 Advanced WAF 정책을 NGINX App Protect WAF 정책으로 변환하는 단계는 다음과 같으며 지침에 대한 링크도 제공됩니다.

F5 Advanced WAF 정책을 NGINX App Protect 정책으로 변환하는 단계를 보여주는 다이어그램
F5 Advanced WAF 정책을 NGINX App Protect 정책으로 변환
  1. NGINX App Protect Policy Converter용 Docker 이미지를 다운로드하고 설치합니다 .
  2. F5 Advanced WAF 정책을 내보냅니다 (지침에서는 "BIG‑IP ASM 보안 정책"을 참조하지만 F5 Advanced WAF 정책에도 적용됩니다).
  3. 정책을 JSON 형식의 NGINX App Protect WAF 정책으로 변환합니다 .

NGINX 앱 보호 WAF 정책을 컨트롤러 앱 보안으로 가져오기

애플리케이션 전송 모듈 버전 3.20용 Controller App Security를 사용하면 BYO 앱 보호 정책 프로세스를 사용하여 NGINX 앱 보호 WAF 정책을 가져와 모든 관리형 NGINX 앱 보호 인스턴스에 배포할 수 있습니다. NGINX App Protect WAF 정책은 기본 정책일 수도 있고, 이전 섹션 에서 설명한 대로 F5 Advanced WAF에서 변환한 정책일 수도 있습니다.

BYO 앱 보호 정책 프로세스는 보안 전략이라는 컨트롤러 객체를 사용합니다. 보안 전략 은 사용자 지정 NGINX 앱 보호 WAF 정책을 포함한 보안 관련 정책을 위한 논리적 컨테이너입니다. 그런 다음 앱의 보안 전략을 참조하여 앱에 연결된 WAF 정책을 적용합니다.

BYO 앱 보호 정책 프로세스에 대한 추가 정보는 제품 설명서를 참조하세요.

선택한 인터페이스에 대한 다음 섹션의 지침을 참조하세요.

단계를 완료한 후, BYO 앱 보호 정책 프로세스를 사용하여 Controller 앱 보안에 가져온 WAF 정책 업데이트는 연관된 보안 전략을 참조하는 모든 앱 구성 요소에 자동으로 전파됩니다.

Application Delivery Module 버전 3.20의 Controller App Security에서는 단일 파일에 정의된 WAF 정책만 지원됩니다. 외부 참조(여러 파일로 표현된 WAF 정책)를 사용하는 WAF 정책에 대한 지원은 향후 릴리스에서 계획되어 있습니다.

API 사용하기

Controller API를 사용하여 WAF 정책을 Controller App Security로 가져오려면 다음 단계를 수행하세요.

  1. PUT 요청으로 NGINX App Protect WAF 정책을 보안 정책 엔드포인트에 전달합니다.

    https://{{CONTROLLER_FQDN}}/api/v1/security/policies/{{정책}}
    

    다음과 유사한 JSON 개체가 있습니다.

    {
    "메타데이터": {
    "이름": "lowriskapppolicy",
    "디스플레이 이름": "저위험 앱 보호 정책",
    "설명": "내부 저위험 앱을 위한 기업 WAF 정책",
    },
    "desiredState": {
    "content": {
    "policy": {
    "name": "lowriskapppolicy",
    "template": {
    "name": "POLICY_TEMPLATE_NGINX_BASE"
    },
    "applicationLanguage": "utf-8",
    "enforcementMode": "차단",
    "서명": [
    {
    "서명 ID": 123458888,
    "활성화됨": 거짓
    },
    {
    "서명 ID": 304500123,
    "활성화됨": 거짓
    }
    ],
    }
    }
    }
    }
    
  2. PUT 요청을 통해 보안 전략 엔드포인트에 WAF 정책을 참조하는 보안 전략을 만듭니다.

    https://{{CONTROLLER_FQDN}}/api/v1/security/strategies/{{전략}}
    

    다음과 유사한 JSON 개체가 있습니다.

    {
    "메타데이터": {
    "이름": "lowriskstrategy",
    "디스플레이 이름": "저위험 앱 전략",
    "설명": "내부 저위험 앱을 위한 기업 전략",
    },
    "desiredState": {
    "content": {
    "securityPolicyRef": "/security/policies/lowriskapppolicy"
    }
    }
    }
    
  3. 앱 구성 요소(예: 앱의 앱 URI)에 WAF 정책을 적용하여 앱 구성 요소 엔드포인트에 대한 PUT 또는 POST 요청으로 보안 전략을 참조합니다.

    https://{{컨트롤러_FQDN}}/api/v1/서비스/환경/{{환경}}/앱/{{앱}}/구성요소/{{구성요소}}
    

    다음과 유사한 JSON 개체가 있습니다.

    {
    "메타데이터": {
    "이름": "기본"
    },
    "원하는 상태": {
    "유입": {
    "uris": {
    "/": {
    } 
    },
    . . . 
    
    "보안": {
    "전략 참조": {
    "참조": "/보안/전략/저위험전략"
    },
    "waf": {
    "활성화됨": 참
    }
    },
    . . . 
    }
    

GUI 사용

Controller GUI를 사용하여 Controller App Security에 WAF 정책을 가져와 적용하려면 다음 단계를 수행하세요.

  1. 보안 전략 만들기 페이지에서 보안 전략 을 만드세요.

  2. NGINX App Protect WAF 정책이 이미 Controller에서 사용 가능한 경우 정책 필드의 드롭다운 메뉴에서 선택합니다.

    아직 나열되어 있지 않으면 + 새로 만들기를 클릭하세요. 나타나는 보안 정책 만들기 팝업 창에서 JSON 형식의 NGINX App Protect WAF 정책이 포함된 파일을 업로드합니다.

  3. WAF 정책을 적용할 앱의 앱 구성 요소 편집 페이지에서 연관된 보안 전략을 선택합니다.

NGINX 컨트롤러 내에서 정책 공유

BYO 앱 보호 정책 프로세스를 사용하여 Controller 앱 보안에 정책을 적용하면 서로 다른 팀에서 관리하는 경우에도 Controller에 정의된 모든 앱에서 해당 정책을 공유할 수 있습니다. 여러 개의 컨트롤러 앱 구성 요소(또는 URI와 같은 앱의 하위 구성 요소)가 동일한 정책을 참조하면 많은 앱과 API에서 보안 태세를 표준화하는 데 도움이 됩니다.

여러 앱이 동일한 BYO App Protect WAF 정책을 참조하는 방식을 보여주는 다이어그램
여러 앱이 동일한 정책을 참조할 수 있습니다.

컨트롤러는 WAF 정책의 관리와 버전 관리를 중앙에서 관리합니다. 정책의 새 버전을 게시하면 해당 정책을 참조하는 모든 Controller 앱 구성 요소에서 정책이 업데이트되어 작업이 극적으로 간소화됩니다.

요약

F5 WAF 기술 플랫폼은 앱 전체에서 표준화된 보안 태세를 위해 동일한 WAF 보호 정책의 이식성과 재사용성을 제공합니다. 이러한 설계 철학은 F5 및 NGINX WAF 솔루션으로 보호되는 모든 사용 사례를 지원하는 데 도움이 되며, 앱 보안 관리 및 배포를 더 빠르고 쉽고 반복적으로 수행할 수 있습니다.

Controller App Security의 BYO 앱 보호 정책 기능(Controller ADM 3.20에서 사용 가능)을 사용하면 이제 사용자 지정 NGINX 앱 보호 WAF 정책을 사용할 수 있으며, NGINX 앱 보호 WAF 또는 F5 Advanced WAF를 사용하여 구축된 견고하고 일관되며 검증된 정책으로 새 앱을 보다 쉽게 보호할 수 있습니다. 무엇보다도 BYO 앱 보호 정책과 컨트롤러 앱 보안을 사용하면 검증된 단일 정책을 여러 앱에 적용할 수 있어 정책 변경 프로세스가 크게 간소화되고 원활해집니다.

NGINX Controller는 보안 팀이 앱 팀에 셀프 서비스 모델로 보안을 제공할 수 있도록 지원하여 조직의 생산성과 보안을 모두 강화합니다.

NGINX Controller App Security를 직접 사용해보고 싶으신가요? 오늘 무료 30일 NGINX 컨트롤러 체험판을 시작하거나, 사용 사례에 대해 논의하기 위해 저희에게 문의하세요 .


"이 블로그 게시물에는 더 이상 사용할 수 없거나 더 이상 지원되지 않는 제품이 참조될 수 있습니다. 사용 가능한 F5 NGINX 제품과 솔루션에 대한 최신 정보를 보려면 NGINX 제품군을 살펴보세요. NGINX는 이제 F5의 일부가 되었습니다. 이전의 모든 NGINX.com 링크는 F5.com의 유사한 NGINX 콘텐츠로 리디렉션됩니다."