• 81 • Wydajne dostarczanie aplikacji dla mikrousług | NGINX Plus

    KLUCZOWE CECHY

    • Prostota w użyciu – mniejsza złożoność i prostsze zarządzanie, dzięki połączeniu systemu równoważenia obciążenia, bramki API oraz WAF w jednym, elastycznym rozwiązaniu obsługującemu ruch przychodzący/wychodzący
    • Elastyczność – możliwe do wdrożenia na wielu platformach w środowiskach multi-cloud: AWS, Azure, GCP oraz VMware. Wsparcie dla kontenerów Docker, Kubernetes i OpenShift
    • Automatyzacja – oszczędność czasu dzięki integracji za pomocą interfejsu API

    PROBLEM

    Podejście do tworzenia, udostępniania i zabezpieczania aplikacji istotnie się zmienia. Coraz szybsze i funkcjonalne aplikacje wymagają zastosowania nowoczesnej architektury opartej na mikrousługach. Odejście od monolitu, potrzeba organizowania zespołów i procesów zgodnie z priorytetami biznesowymi, orientacja na produktywność i elastyczność, w efekcie wymaga zastosowania inteligentnego sposobu routingu stron do aplikacji.

    ROZWIĄZANIE

    Jedną z największych zalet architektury mikrousług jest to, że ułatwia ona tworzenie i utrzymywanie aplikacji. NGINX z F5 idealnie wpasowuje się w te potrzeby oferując rozwiązania wypełniające luki pomiędzy NetOps i DevOps. NGINX Plus to programowy równoważnik obciążenia, serwer WWW i serwer proxy zbudowany na bazie otwartego systemu NGINX. NGINX Plus posiada wyjątkową funkcjonalność dedykowaną dla systemów korporacyjnych wykraczające poza to, co jest dostępne w ofercie systemu open-source. Te funkcje to, m.in. utrzymywanie sesji (session persistence), dynamiczna konfiguracja z użyciem API, aktywne sprawdzanie stanu dostępności systemu (health checks) plus oczywiście wsparcie techniczne producenta.

    ARCHITEKTURA REFERENCYJNA

    NGINX - Księga Rozwiązań F5

  • 82 • Bezpieczeństwo aplikacji w środowisku DevOps | NGINX App Protect

    KLUCZOWE KORZYŚCI

    • Integracja systemu bezpieczeństwa bezpośrednio z procesami tworzenia i utrzymania oprogramowania
    • Stosowanie zabezpieczeń w nowoczesnych środowiskach aplikacji, takich jak kontenery i mikrousługi
    • Zgodność z wymogami bezpieczeństwa i przepisami

    PROBLEM

    Nowoczesne aplikacje to mikrousługi, które działają w kontenerach, komunikują się za pośrednictwem interfejsów API, są wdrażane w sposób zautomatyzowany za pośrednictwem procesów CI/CD. Zespoły DevOps muszą integrować mechanizmy zabezpieczeń autoryzowane z kolei przez zespoły bezpieczeństwa w środowiskach rozproszonych z jak najmniejszymi opóźnieniami związanymi z wypuszczaniem nowych, czy wprowadzaniem zmian w istniejących aplikacjach. Współpraca między oboma zespołami jest w związku z tym coraz bardziej krytyczna i wymaga wdrożenia nie tylko odpowiednich procedur ale i rozwiązań technicznych.

    ROZWIĄZANIE

    NGINX App Protect to nowoczesne rozwiązanie zabezpieczające aplikacje zaprojektowane do pracy w środowiskach DevOps. Zapobiega przestojom i naruszeniom, zabezpieczając zarówno same aplikacje jak i interfejsy API. Ze względu na oferowaną elastyczność konfiguracji, pozwala zaspokoić potrzeby związane z integracji systemu typu WAF już we wstępnych etapach wytwarzania oprogramowania. Funkcjonalność NGINX App Protect została oparta na znanym systemie F5 Web Application Firewall i dostępna jest jako moduł na NGINX Plus.

    ARCHITEKTURA REFERENCYJNA

    NGINX - Księga Rozwiązań F5

  • 83 • WAF oparty na otwartym oprogramowaniu ModSecurity | NGINX Plus Web Application Firewall

    KLUCZOWE KORZYŚCI

    • Ochrona przed borami i “atakami” sknerów podatności
    • Współpraca z zewnętrznymi bazami reputacyjnymi IP
    • Ochrona przed atakami DDoS

    PROBLEM

    Nawet programistom dobrze rozumiejącym zagadnienia bezpieczeństwa trudno jest tworzyć bezpieczny kod, zwłaszcza gdy pracują pod powszechnie spotykaną presją czasu w prowadzonych projektach programistycznych. Tymczasem udane ataki na powstające aplikacje wciąż zakłócają działalność biznesową, powodują przestoje, utratę poufnych danych i przejęcie systemu przez atakujących. Udane ataki mogą również następować kaskadowo, potęgując efekt przestojów czy zakłóceń procesów biznesowych tam, gdzie są one zależne od aplikacji.

    ROZWIĄZANIE

    Doskonałym narzędziem służącym do zabezpieczania aplikacji webowych, stosowanym przez miliony stron na całym świecie jest ModSecurity. Podobnie jak NGINX, również i ModSecurity jest dostępny jako oprogramowanie typu open source. Nowa architektura NGINX ModSecurity WAF dla NGINX Plus gwarantuje znacznie szybsze i bardziej stabilne działanie. ModSecurity jako WAF skupia się na ruchu http. Po wysłaniu żądania http, ModSecurity sprawdza wszystkie części żądania pod kątem złośliwej zawartości lub anomalii w ruchu. Jeśli pakiet zostanie uznany za złośliwy, może zostać zablokowany, zarejestrowany lub w obu przypadkach, w zależności od konfiguracji. NGINX ModSecurity WAF jest najczęściej wykorzystywane z zestawem podstawowych reguł OWASP ModSecurity Core Rule Set (CRS).

    ARCHITEKTURA REFERENCYJNA

    NGINX - Księga Rozwiązań F5

  • 84 • Wdrożenia multi-cloud i automatyzacja w ramach CI/CD | NGINX Controller

    KLUCZOWE KORZYŚCI

    • Łatwe zarządzanie równoważnikami obciążenia czy bramami API na dużą skalę
    • Pozwala na szybkie wdrażanie nowych funkcji i aplikacji przy zachowaniu polityk bezpieczeństwa
    • Zapewnia wydajność, niezawodność i dostępność aplikacji.
    • Ułatwia monitoring i zarządzanie wieloma instancjami NGINX Plus w środowiskach multi-cloud

    PROBLEM

    Tradycyjnie istnieje podział między zespołami aplikacji, które opracowują kod, a zespołami operacyjnymi, które wypuszczają i zarządzają gotową aplikacją. Pod presją szybszego publikowania kodu zespoły zajmujące się tworzeniem aplikacji szukają infrastruktury opartej na oprogramowaniu, którą można by wdrożyć, zarządzać i zintegrować z ich potrzebami w zakresie CI/CD. Idealne narzędzia znajdują w postaci NGINX Plus. Problemem nadal jednak jest skłonność do omijania zasad IT oraz zgodności, które firmy stosują w celu ochrony aplikacji i danych.

    ROZWIĄZANIE

    W tym miejscu idealnie sprawdza się podejście koncentracji na aplikacji jaką prezentuje NGINX Controller. W praktyce jest to rozwiązanie zarządzające instancjami NGINX – umożliwia zarządzanie całym cyklem życia NGINX Plus, niezależnie od tego, czy został wdrożony jako równoważnik obciążenia, brama API czy jako proxy serwer. Dzięki wyjątkowej funkcjonalności pozwala wprowadzić właściwy balans między produktywnością programistów a zgodnością operacji. NGINX Controller przenosi środek ciężkości z infrastruktury obsługującej aplikację na samą aplikację. Dzięki niemu zespoły obejmujące DevOps, NetOps, SecOps i AppDev mogą współpracować w całym cyklu życia aplikacji.

    ARCHITEKTURA REFERENCYJNA

    NGINX - Księga Rozwiązań F5

  • 85 • Zarządzanie interfejsami API | NGINX API Gateway

    KLUCZOWE KORZYŚCI

    • Uwierzytelnianie i autoryzowanie API za pomocą JSON Web Token (JWT) i kluczy API
    • Ochrona interfejsów API przed atakami DDoS
    • Elastyczny sposób licencjonowania
    • Wydajna analiza ruchu północy-południe oraz wchód-zachód
    • Monitorowanie i alarmowanie w czasie rzeczywistym

    PROBLEM

    W przypadku aplikacji monolitycznej istnieje tylko jeden zestaw punktów końcowych, ale już w architekturze aplikacji opartej o mikrousługi, każda mikrousługa posiada zestaw typowych dla tylko siebie punktów końcowych. Interfejsy programistyczne (API) spełniają zatem coraz bardziej istotną rolę w nowoczesnych aplikacjach. Niezwykle ważne jest więc odpowiednie ich zabezpieczenie, ale bez wpływu na szybkość wdrażania aplikacji i jej kolejnych wersji.

    ROZWIĄZANIE

    Jako wiodący, wysokowydajny i lekki serwer proxy i system równoważenia obciążenia, NGINX Plus ma zaawansowane możliwości przetwarzania ruchu HTTP potrzebne do obsługi ruchu na interfejsach API. To sprawia, że NGINX Plus jest idealną platformą, którą można zastosować jako API Gateway. Brama interfejsu API przyjmuje wszystkie wywołania od klientów, a następnie kieruje je do odpowiedniej mikrousługi. Zazwyczaj obsługuje to żądanie wywołując wiele mikrousług i agregując wyniki, aby zapewnić najlepszą ścieżkę komunikacji. Często wykonuje również inne zadania np. uwierzytelnianie, równoważenie obciążenia, buforowanie lub występuje jako ‘tłumacz’ między protokołami sieciowymi a protokołami stosowanymi wyłącznie wewnątrz organizacji.

    ARCHITEKTURA REFERENCYJNA

    NGINX - Księga Rozwiązań F5