解决方案概述

利用 F5 Advanced WAF(API 安全 - 新一代 WAF)实现 DevOps 的安全自动化

利用 F5 Advanced WAF(API 安全 - 新一代 WAF)实现 DevOps 的安全自动化

applications是现代组织数字战略的核心。 根据 F5 实验室的研究,企业组织平均管理 983 个applications,这些应用程序通常跨越多个云和数据中心。 现代applications通常采用分布式架构设计,并使用敏捷开发实践构建至组件级别。 这个持续集成和持续交付(CI/CD)框架使 DevOps 能够快速高效地管理软件生命周期。 随着上市时间成为主要 KPI(关键绩效指标),DevOps 采用了现代工作流程和自动化。 然而,安全性通常被排除在 CI/CD 安全工作流程之外。

DevOps 工作流中缺乏application安全控制意味着它们没有与application代码一起进行测试。 因此,应用程序安全缺陷可能直到开发周期结束前进行操作测试时才会被发现,而修复缺陷的成本要高得多。 其影响可能包括产品上市时间严重延迟、补救成本增加或安全控制不足。

在 CI/CD 流程早期引入安全测试是解决application和安全团队之间差距的最有效的解决方案。 挑战在于规模和效率,这需要文化和技术的转变,强调将操作安全测试作为application开发阶段的一部分。

F5 高级 Webapplication防火墙可以实现在开发流程早期集成操作application安全测试。 这使得可以在流程早期对功能规范和安全策略进行全面测试。 现在,DevOps 团队可以在application仍在开发时发现安全缺陷,无论是安全策略还是application本身。 当团队发现错误时,他们可以更有效地进行补救,并且成本显著降低。

主要特点

  • 基于声明式 API 的部署和配置可实现与 DevOps 工具和工作流的集成
  • 使 SecOps 能够使用易于读取的 JSON 文件以“代码”形式管理和交付 DevOps 安全性
  • OpenAPI 文件的引入支持 API 安全性的自动配置
  • 与 Webhooks(例如 Slack、Teams)的集成可以增强 DevOps 协作和高级自动化功能
  • 能够通过模块化策略在applications之间共享基本安全性,并按应用程序自定义控件
  • 能够通过引用共享文件跨策略共享策略对象

主要优势

  • 帮助以更低的成本和更高的安全效率更快地将应用程序推向市场
  • 将安全测试移至application开发流程的“左侧”,以实现更具成本效益的补救措施
  • 弥合 SecOps 和 DevOps 之间的运营差距

安全即代码

通过使用声明性 API,可以将application安全性集成到开发流程中。 这些 API 命令可作为自动化开发管道的一部分来部署和配置Advanced WAF(API 安全 - 新一代 WAF)。 可以通过 DevOps 团队已经在使用的工具(例如 GitLab、Jenkins 和 Bitbucket)实现自动化。

WAF 安全策略也可以使用相同的自动化流程应用于现有的 WAF 实例。 安全策略可以定义为一个简单的 JavaScript 对象表示法 (JSON) 文件。 该文件可以包含指向 WAF 策略的名称和位置的指针,通常位于 GitHub 等存储库中。

使用这个框架,SecOps 团队可以创建、发布和维护开发团队轻松使用的安全策略。 策略可能因application的不同而变化。 例如,SecOps 团队可以针对 OWASP Top 10 制定applications基线策略,该策略定义了 Webapplications面临的最关键的安全风险。 可以为需要额外控制的applications发布其他策略,其中可能包括处理敏感数据或执行金融交易的applications。 开发团队使用这些策略,就像他们使用其他application代码一样。


图 1: 组织可以使用声明性 API 将application安全性集成到自动化开发管道中,以部署和配置Advanced WAF(API 安全 - 新一代 WAF)。

CI/CD 管道自动化工具集会自动集成、应用、测试和构建对安全“代码”的更改。 这种方法将安全控制在 CI/CD 管道中进一步向左(更早)移动,使安全成为整个过程中的共同责任。 与application的任何其他部分一样,这可确保在开发生命周期的所有阶段(开发、测试、质量保证和生产)实现一致的安全性。

跨职能的 DevSecOps 团队可以使用额外的 ChatOps(例如 Slack)集成功能来提高他们的效率并确保他们始终保持一致。 然而,ChatOps 不仅仅只是消息传递和警报。 与管道工具集成时,ChatOps 可以提供实时 DevOps 进度,甚至启动管道操作(例如对Advanced WAF(API 安全 - 新一代 WAF)策略的更新)。

结论

了解有关Advanced WAF(API 安全 - 新一代 WAF) 的更多信息: