Nginx Plus s App protect - Prípadová štúdia

Marek Zacharda

Systems Engineer, F5

marek.zacharda@alef.com

NGINX plus s modulom App protect poskytuje funkcie proxy load balancer a  web aplikáčný firewall bezpečným, agilným a výkonným spôsobom. Môže byť použitý v cloude, lokálne alebo v prostredí mikro služieb kontajnerov. App Protect WAF funkcia NGINX Plus  používa rovnaké jadro ako F5 Advanced WAF.


 1. Prehľad

Veľký slovenský národný IT systém poskytuje vitálne informácie pre viac ako polovicu obyvateľstva krajiny, a umožňuje im riešiť svoje každodenné záležitosti online.

Hlavná monolitická aplikácia systému bola navrhnutá pred viac ako 10 rokmi a má typickú, architektúru orientovanú na službu s Web Aplikačným Firewallom (WAF). Beží na štandardnom hardvérovom servery lokálne v datacentre.

V dôsledku pandemickej situácie sa vývoj novej webovej aplikácie stal nevyhnutným.

Hlavné požiadavky na aplikáciu boli:

1.    Dynamické škálovanie a rýchle nasadenie
2.    Orientácia na API
3.    Bezpečnosť

2. Výzva

Dynamické škálovanie a rýchle nasadenie

Prevádzka novej, agilnej webovej aplikácie by si vyžadovala dynamické škálovanie hardvéru a sieťovej infraštruktúry. Okrem toho boli predpoklady, že budú pridané nové funkcie a premávka sa ešte aj zvýši. Existujúce lokálne (na hardvéri založené) datacentrum nebolo navrhnuté, aby zvládlo potrebu infraštruktúru modernej aplikácie s nepredikovateľnou premávkou.

Orientácia na API

Užívatelia majú k aplikácii prístup cez dve rozhrania. Jedno je pre overených, podnikových zákazníkov, ktorí majú k aplikácii prístup cez VPN a druhé je pre verejný prístup prostredníctvom HTTPS. Aplikácia by mala komunikovať cez API.

Bezpečnosť

Hlavnou bezpečnostnou požiadavkou na aplikáciu bolo, aby mala povolené WAF v blokovacom režime pre volania API. Tradičné WAF riešenia si vyžadujú dlhý čas na manuálnu konfiguráciu WAF pravidiel alebo na samotné učenie sa politiky. Navyše vo fáze učenia politiky sa neblokuje komunikácia, aby sa interpretovalo, čo je legálna premávka. Manuálna konfigurácia rovnako zaberie veľa času aby vyladila jednotlivé pravidla. Navyše sa tieto kroky musia zopakovať po každej aktualizácii aplikácie. Spoločnosť chcela mať pravidla WAF nasadené v blokovacom režime okamžite pri aktualizácií svojho softwaru.

3. Riešenie

Spoločnosť si vybrala platformu Google Cloud na hosťovanie novej aplikácie. Aplikácia bola vyvinutá v Kubernetes a má dve rozdielne API rozhrania pre overených a verejných zákazníkov.

V porovnaní s tradičnými riešeniami, toto nové riešenie je v súlade s CI-CD trendmi v moderných aplikáciách s lepšou škálovateľnosťou a flexibilnejším nasadením. Google Cloud má hladkú integráciu s NGINX plus s App protect. Tieto vlastnosti vylepšili rýchlejšie nasadenie nových funkcií. NGINX plus s modulom App protect bol vybraný ako bezpečný load balancer s WAF v scenári Kubernetes Ingress Controller ako je vidno na obrázku nižšie:

Okrem NGINX plus pokročilých možností load balancingu a logovania, NGINX App protect poskytuje pre aplikácie plnohodnotný WAF. NGINX plus Approtect WAF politika pre aplikáciu môže byť založená na swagger súbore, (textovom popise aplikácie od vývojárov) alebo dokonca iba na odkaze na swagger súbor. Preto pri každej novej aktualizácii aplikácie vývojári aktualizujú len jeden swagger súbor a NGINX Plus s App protect  ochrani a povoli len tie objekty, ktoré su v ňom popísané.

4. Výsledok

Spoločnosť sa rozhodla prevádzkovať aplikáciu na Google Cloude v dôsledku vyššej premávky na aplikáciu v porovnaní s pôvodným plánom. Webová aplikácia zákazníka beží na niekoľkých mikroslužbách v cloudových kontajneroch.

NGINX plus navyše podporuje manažment a konfiguráciu jednotlivých inštancií aj cez API. Nové funkcie, ktoré sú združené ako mikroslužby môžu byť spustené v reálnom čase a bez akéhokoľvek výpadku servera cez dynamicky nastaviteľný NGINX conf súbor a swagger súbor aplikácie, ktorý je tiež automaticky zaktualizovaný cez API. To znamená, že funkcie môžu byť spustené rýchlo a sú okamžite bezpečné.

NGINX App protect je bezpečné WAF riešenie založené na rovnakom jadre ako je použité v F5 Advanced WAF moduloch, taktiež s pravidelnými aktualizáciami Attack signatures(podpisov útokov) a dodatočnými bezpečnostnými prvkami ako Threat Campaings (viac špecifické podpisy útokov), ochrana pred BOTmi a DoS ochrana na 7mej vrstve.


Radi Vás privítame u nás a ponúkame možnosť testovania v priestoroch spoločnosti ALEF.

kontaktujte nás