BLOG | NGINX

Trazendo as políticas F5 e NGINX WAF para a segurança do aplicativo Controller

NGINX-Parte-de-F5-horiz-preto-tipo-RGB
Daphne Won Miniatura
Dafne Ganhou
Publicado em 15 de setembro de 2021

Desde que a NGINX se juntou à F5 há dois anos, um dos benefícios mais significativos para nossos clientes foi a integração da expertise em segurança líder do setor da F5 aos produtos NGINX. O F5 NGINX App Protect WAF e o F5 NGINX Controller App Security aproveitam a mesma tecnologia de firewall de aplicativo da web (WAF) do F5 Advanced WAF , F5 Silverline WAF e outras soluções de segurança da F5. Embora cada produto tenha um formato diferente para oferecer suporte a ambientes específicos, cenários de implantação e casos de uso de gerenciamento, os clientes podem ter certeza de que o mesmo mecanismo de aplicação de segurança conhecido e confiável os protege contra os ataques da web mais avançados.

As soluções de segurança NGINX e F5 alavancam a tecnologia WAF líder do setor da F5

A tecnologia WAF compartilhada também significa que os clientes da F5 podem manter políticas padronizadas já aprovadas por suas equipes de segurança à medida que migram de um ambiente tradicional que usa um produto como o F5 Advanced WAF para ambientes em contêineres e em nuvem, onde o NGINX App Protect WAF é mais adequado. A portabilidade das políticas WAF entre produtos torna rápido e fácil para os clientes da F5 e da NGINX garantir uma postura de segurança forte, consistente e compatível.

Quando introduzimos o NGINX Controller App Security para o Application Delivery Module, ele veio com uma política padrão focada na proteção contra o OWASP Top 10 e outras ameaças, com o mínimo de falsos positivos. Com o Controller App Security para a versão 3.20 do Application Delivery Module, agora você pode importar suas políticas personalizadas do NGINX App Protect WAF e distribuí-las em todas as suas implantações gerenciadas. Chamamos isso de Política de Proteção de Aplicativos WAF Traga Sua Própria NGINX (Política de Proteção de Aplicativos BYO).

Para saber mais, continue lendo e confira esta visão geral em vídeo:

Mantendo políticas WAF consistentes em toda a jornada de modernização de aplicativos

Muitos dos nossos clientes com ambientes tradicionais de entrega de aplicativos começam usando o F5 Advanced WAF ou o BIG-IP ASM. À medida que avançam na jornada de modernização de aplicativos, eles podem aproveitar o NGINX App Protect e o NGINX Controller App Security para novos aplicativos que precisam de uma abordagem alinhada ao DevOps para implantar serviços WAF.

Por si só, o NGINX App Protect WAF protege aplicativos modernos com recursos que vão desde a defesa contra o OWASP Top Ten e outras ameaças avançadas até a definição de políticas simplificada e declarativa. A adoção do Controller App Security para gerenciar instâncias do NGINX App Protect WAF tem benefícios adicionais:

  • As equipes de segurança obtêm visibilidade aprimorada e pronta para uso e podem fornecer às equipes de Dev e DevOps políticas de WAF aprovadas e provisionamento e gerenciamento de autoatendimento de instâncias do NGINX App Protect WAF. Melhor ainda, uma única instância do Controller pode dar suporte a várias equipes.
  • As equipes de desenvolvimento e DevOps podem usar a API e a GUI do Controller com as quais já estão familiarizadas para aplicar as políticas WAF aprovadas aos seus aplicativos, sem a necessidade de um entendimento profundo das políticas ou da configuração das instâncias do NGINX App Protect WAF que estão aplicando as políticas no plano de dados.
Diagrama de topologia mostrando o NGINX Controller App Security Add-On operando no plano de gerenciamento e o NGINX App Protect WAF operando no plano de dados
O Controller App Security usa o NGINX App Protect WAF para impor políticas no plano de dados

Preparando políticas F5 WAF para segurança do aplicativo do controlador

Para ajudar você a manter políticas consistentes em todas as implementações do F5 e do NGINX WAF à medida que avança na jornada de modernização do seu aplicativo, fornecemos o NGINX App Protect Policy Converter . Ele traduz políticas F5 Advanced WAF (formatadas em XML) para políticas NGINX App Protect WAF (formatadas em JSON). Você pode então passar as políticas convertidas para o Controller App Security, conforme descrito na próxima seção .

Aqui estão as etapas para traduzir uma política F5 Advanced WAF para uma política NGINX App Protect WAF, com links para instruções.

Diagrama mostrando as etapas para converter uma política F5 Advanced WAF em uma política NGINX App Protect
Convertendo uma política F5 Advanced WAF em uma política NGINX App Protect
  1. Baixe e instale a imagem do Docker para o NGINX App Protect Policy Converter.
  2. Exporte a política F5 Advanced WAF (as instruções referem-se às “políticas de segurança BIG-IP ASM”, mas também se aplicam às políticas F5 Advanced WAF).
  3. Converta a política em uma política NGINX App Protect WAF no formato JSON.

Trazendo suas políticas WAF de proteção do aplicativo NGINX para a segurança do aplicativo do controlador

Com o Controller App Security para a versão 3.20 do Application Delivery Module, você pode usar o processo BYO App Protect Policy para trazer políticas do NGINX App Protect WAF e distribuí-las entre todas as suas instâncias gerenciadas do NGINX App Protect. A política NGINX App Protect WAF pode ser nativa ou convertida do F5 Advanced WAF, conforme descrito na seção anterior .

O processo de política BYO App Protect emprega um objeto Controller chamado Security Strategy , um contêiner lógico para políticas relacionadas à segurança, incluindo políticas personalizadas do NGINX App Protect WAF. Em seguida, você faz referência à Estratégia de Segurança em um aplicativo para aplicar a política WAF associada ao aplicativo.

Para obter informações adicionais sobre o processo da Política de Proteção de Aplicativos BYO, consulte a documentação do produto .

Veja as instruções nas seções a seguir para a interface de sua escolha:

Após concluir as etapas, as atualizações de uma política do WAF trazidas para o Controller App Security usando o processo BYO App Protect Policy serão propagadas automaticamente para todos os componentes do aplicativo que fazem referência à estratégia de segurança associada.

Com o Controller App Security para a versão 3.20 do Application Delivery Module, somente políticas WAF definidas em um único arquivo são suportadas. O suporte para políticas WAF usando referências externas (políticas WAF representadas por vários arquivos) está planejado para uma versão futura.

Usando a API

Execute as seguintes etapas para trazer uma política WAF para o Controller App Security usando a API do Controller:

  1. Passe a política NGINX App Protect WAF com uma solicitação PUT para o ponto de extremidade da Política de Segurança:

    https://{{CONTROLLER_FQDN}}/api/v1/security/policies/{{policy}}

    com um objeto JSON semelhante ao seguinte:

    {
"metadados": {
"nome": "lowriskapppolicy",
"displayName": "Política de proteção de aplicativos de baixo risco",
"description": "Política corporativa do WAF para aplicativos internos de baixo risco",
},
"desiredState": {
"content": {
"policy": {
"name": "lowriskapppolicy",
"template": {
"name": "POLICY_TEMPLATE_NGINX_BASE"
},
"applicationLanguage": "utf-8",
"enforcementMode": "bloqueio",
"assinaturas": [
{
"signatureId": 123458888,
"habilitado": falso
},
{
"signatureId": 304500123,
"habilitado": falso
}
],
}
}
}
}

  2. Crie uma estratégia de segurança que faça referência à política WAF com uma solicitação PUT para o ponto de extremidade de estratégias de segurança:

    https://{{CONTROLLER_FQDN}}/api/v1/security/strategies/{{strategy}}

    com um objeto JSON semelhante ao seguinte:

    {
"metadados": {
"nome": "estratégia de baixo risco",
"nome de exibição": "Estratégia de aplicativo de baixo risco",
"description": "Estratégia corporativa para aplicativos internos de baixo risco",
},
"desiredState": {
"content": {
"securityPolicyRef": "/security/policies/lowriskapppolicy"
}
}
}

  3. Aplique a política WAF a um componente de aplicativo (como um URI de aplicativo) para referenciar a estratégia de segurança com uma solicitação PUT ou POST para o ponto de extremidade do componente de aplicativo:

    https://{{Controller_FQDN}}/api/v1/services/environments/{{env}}/apps/{{app}}/components/{{component}}

    com um objeto JSON semelhante ao seguinte:

    {
"metadados": {
"nome": "principal"
},
"estadodesejado": {
"entrada": {
"uris": {
"/": {
} 
},
. . . 

"segurança": {
"estratégiaRef": {
"ref": "/segurança/estratégias/estratégiadebaixorisco"
},
"waf": {
"estáHabilitado": verdadeiro
}
},
. . . 
}

Usando a GUI

Execute as seguintes etapas para trazer e aplicar uma política WAF ao Controller App Security usando a GUI do Controller:

  1. Crie uma estratégia de segurança na página Criar estratégia de segurança .

  2. Se a política NGINX App Protect WAF já estiver disponível no Controller, selecione-a no menu suspenso no campo Política .

    Se ainda não estiver listado, clique em + CRIAR NOVO . Na janela pop-up Criar política de segurança exibida, carregue um arquivo contendo a política NGINX App Protect WAF no formato JSON.

  3. Na página Editar componente do aplicativo ao qual você está aplicando a política WAF, selecione a estratégia de segurança associada.

Compartilhando políticas dentro do controlador NGINX

Depois de trazer uma política para o Controller App Security usando o processo BYO App Protect Policy, ela pode ser compartilhada entre todos os aplicativos definidos no Controller, mesmo que sejam gerenciados por equipes diferentes. Ter vários componentes de aplicativo do controlador (ou subcomponentes de um aplicativo, como URIs) referenciando as mesmas políticas ajuda a padronizar sua postura de segurança em muitos aplicativos e APIs.

Diagrama mostrando como vários aplicativos podem se referir à mesma política BYO App Protect WAF
Vários aplicativos podem se referir à mesma política

O Controller centraliza o gerenciamento e o controle de versão das políticas do WAF. Quando você publica uma nova versão de uma política, ela é atualizada em todos os componentes do aplicativo Controller que a referenciam, simplificando drasticamente as operações.

Resumo

A plataforma de tecnologia F5 WAF permite portabilidade e reutilização das mesmas políticas de proteção WAF para uma postura de segurança padronizada em todos os aplicativos. Essa filosofia de design também ajuda a dar suporte a todos os seus casos de uso protegidos pelas soluções F5 e NGINX WAF, tornando o gerenciamento e a implantação da segurança de aplicativos mais rápidos, fáceis e repetíveis.

Com o recurso BYO App Protect Policy do Controller App Security (disponível no Controller ADM 3.20), agora você pode usar suas políticas personalizadas do NGINX App Protect WAF, facilitando a proteção de novos aplicativos com políticas robustas, consistentes e comprovadas criadas usando o NGINX App Protect WAF ou o F5 Advanced WAF. O melhor de tudo é que, com o BYO App Protect Policy e o Controller App Security, uma única política verificada pode ser aplicada a muitos aplicativos, simplificando e agilizando muito os processos de alteração de políticas.

O NGINX Controller continua permitindo que as equipes de segurança forneçam segurança em um modelo de autoatendimento para suas equipes de aplicativos, capacitando assim as organizações com produtividade e segurança.

Quer experimentar o NGINX Controller App Security você mesmo? Comece hoje mesmo seu teste gratuito de 30 dias do NGINX Controller ou entre em contato conosco para discutir seus casos de uso .

Leia mais postagens de blog sobre F5 NGINX›

"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."