Presentamos NGINX App Protect: seguridad avanzada de aplicaciones de F5 sobre NGINX Plus

Las empresas que se encuentran en proceso de transformación digital tienen claras ciertas directrices. Mejorar la experiencia del cliente con aplicaciones modernas, adoptando prácticas ágiles para desafiar a los competidores y aprovechar así las ventajas del mercado para emprender nuevas fuentes de ingresos son algunos de los puntos más importantes. Para respaldar estos esfuerzos, existen nuevas arquitecturas aplicables a nuestras aplicaciones que aumentan la eficiencia en su desarrollo e incorporan contenedores, microservicios y APIs.

Para las aplicaciones modernas, la agilidad y el tiempo para su lanzamiento son clave. La seguridad es, a menudo, una consideración secundaria o incluso se descuida por completo. Pero, ¿por qué?. Los controles de seguridad para las aplicaciones tradicionales no siempre se ajustan a los requisitos del negocio. Por ejemplo, los firewalls de aplicaciones web (WAF) que los equipos SecOps.

Configuran y operan de forma tradicional, generalmente no son adecuados para las aplicaciones ágiles que se aplican en líneas específicas de negocios, y que implementan los equipos DevOps. El resultado en estas situaciones puede ser una seguridad inadecuada o mal configurada, retrasos a la hora de publicar estas aplicaciones al mercado y una mala experiencia de usuario.

Presentamos NGINX App Protect

NGINX App Protect es una nueva solución de seguridad de aplicaciones que combina la eficacia de la avanzada tecnología WAF de F5 con la agilidad y el rendimiento de NGINX Plus. La solución se ejecuta de forma nativa sobre NGINX Plus y aborda algunos de los desafíos más difíciles a los que se enfrentan los entornos modernos de DevOps:

  • Integrando los controles de seguridad directamente en el pipeline automatizado de desarrollo

  • Aplicando y gestionando la seguridad para entornos de aplicaciones modernas y distribuidas, como contenedores y microservicios.

  • Proporcionando el nivel correcto de controles de seguridad, sin afectar a su publicación y al “time-to-market”.

  • Cumpliendo con los requisitos de seguridad y regulatorios. 

Con la potencia de seguridad proporcionada por F5

Los controles de seguridad de NGINX App Protect están portados directamente desde la avanzada tecnología WAF de F5, lo que proporciona una significativa mejora frente a las soluciones comunitarias como ModSecurity. 

Su completo set de firmas de ataque WAF ha sido ampliamente probado y verificado para no generar prácticamente ningún falso positivo, por lo que puede implementarse con confianza como «blocking mode», incluso en entornos de producción. 

NGINX App Protect protege frente a los 10 principales riesgos de seguridad de las aplicaciones web OWASP, verifica amenazas de protocolo, defiende contra las técnicas comunes de obtención de información, proporciona listas negras, verificación de cookies, protege las APIs y evita la fuga de datos confidenciales con DataGuard de F5.

Creado para aplicaciones modernas

Tener fuertes controles de seguridad no ayuda si no se pueden implementar en el entorno operativo de la aplicación. NGINX App Protect está diseñado para soportar topologías modernas de implementación de aplicaciones. Los modelos de implementación comunes de NGINX Plus incluyen su uso como:

  • Balanceador de carga

  • API Gateway

  • Ingress Controller para contenedores

  • Kubernetes

  • Proxy como “sidecar” en microservicios

Sin impacto en la velocidad


Desafortunadamente, a menudo se tiene que sacrificar el rendimiento de las aplicaciones por la seguridad, y viceversa. Los controles ModSecurity, por ejemplo, usan en las verificaciones expresiones regulares, degradando  directamente el rendimiento cada vez que se añade un control adicional. Esto lleva a muchos administradores a implementar una cantidad muy pequeña de controles. Por el contrario, los controles NGINX App Protect se compilan en bytecode, por lo que el tráfico se procesa de forma ligera y muy rápida, independientemente de cuántas firmas de ataque se apliquen. El resultado mejora hasta 20 veces el rendimiento y el tráfico de solicitudes por segundo, en comparación con una implementación de ModSecurity con el Core Rules Set v3 habilitado.

Mantenga su equipo DevOps centrado en la innovación

La relación entre SecOps y DevOps, a menudo, puede volverse incompatible, especialmente si los requisitos de seguridad se interponen en el camino de la velocidad en el desarrollo. Las pruebas de seguridad de aplicaciones estáticas (SAST, Static Application Security Testing) y el análisis de composición de software (SCA, Software Composition Analysis) son excelentes herramientas para detectar amenazas de seguridad durante las fases de desarrollo, pero muchas vulnerabilidades no se descubren hasta que las aplicaciones se publican. Dar marcha atrás, y enviar de nuevo las aplicaciones al proceso de desarrollo aumenta los costes y perjudica la productividad. Pero detectar estas vulnerabilidades cuando la aplicación está en proceso de desarrollo es sustancialmente más eficiente, aunque esto implique ajustar la política de seguridad o corregir el código.

NGINX App Protect está orientado a DevOps y se integra en las fases comunes del proceso de desarrollo. Usando las capacidades de configuración de NGINX App Protect, la seguridad puede convertirse en parte de nuestras automatizaciones de integración y despliegue continuos, y ejecutar estas pruebas como cualquier otra parte de la verificación funcional de una aplicación. En esencia, la política de seguridad y la configuración se ejecutan como cualquier otro «código» descargado de un repositorio de código fuente. El equipo de SecOps crea y mantiene una política de seguridad para garantizar que los controles necesarios para proteger el negocio estén implementados. Esto no solo ayuda a mantener la velocidad de publicación, sino que también ayuda a mitigar las diferencias entre los equipos DevOps y SecOps. 

Contenido original: https://www.nginx.com/blog/nginx-app-protect-1-0-released/

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *