点赞
评论
收藏
分享
举报
NAP策略动态配置
发表于2020-12-01 00:00

浏览 1.1k

文章标签

NAP简介:

1. 全名Nginx App Protect

2. 高性能WAF

3. 轻量级软件包,部署于Nginx Plus上

4. 为现代应用架构设计,多平台支持

5. 融入CI/CD Pipeline

6. 注入F5 WAF产品的核心技术


版本信息:

2020.5.22 GA

2020.6.9 V1.1

2020.6.30 V1.2

2020.7.21 V1.3

2020.9.8 V2.0

2020.10.28 V2.1


NAP策略动态配置

在使用NAP时,我们常需要对不用应用配置相同的防护策略,而核心防护策略的迭代/更新,需要多个策略文件同步操作,往往会带来较大的管理配置开销。

这时,我们可以通过NAP配置中的外部引用功能,使策略能根据外部配置文件动态变化。也就是说,我们可以为各类策略提供一组预定义的配置,并且可以通过简单的引用,将他们合并为最终策略的一部分。这样也就确保了,在不断迭代的环境中,策略始终是最新的。

防护响应页面的动态举例

我们在实验环境中已经部署了一套财务网站,并且在Docker中部署了NAP:

使用的默认的安全策略:

在模拟XSS攻击后,可以看到默认的防护页面:

在Gitlab中定义blocking.txt文件,并在文件中添加防护响应页面的描述和图片:

在NAP的策略中,将这个动态文件引用进来,替换配置后Reload生效:

再次模拟XSS攻击时,可以看到blocking.txt中定义的防护响应页面:

注意

策略中引用的单个文件的任何更新都不会触发策略编译。需要通过重新加载NGINX配置来主动完成此操作。

总结

通过以上关联和配置,我们不需要再逐个修改策略配置文件,只需要修改被引用的动态文件,就可以完成配置的迭代,新的策略也就能够生效。策略中的其他部分,都可以采用此类引用方法,提高策略管理和实施效率。


参考

https://docs.nginx.com/nginx-app-protect/configuration/#external-references


已修改于2023-03-09 02:26
本作品系原创
创作不易,留下一份鼓励
rockyshenc

暂无个人介绍

关注



写下您的评论
发表评论
全部评论(0)

按点赞数排序

按时间排序

关于作者
rockyshenc
这家伙很懒还未留下介绍~
1
文章
0
问答
0
粉丝
相关文章
原文来自:https://www.nginx.com/blog/nginx-app-protect-1-0-released/进行数字化转型的公司有明确的业务需求。其中包括改善现代业务应用程序的客户体验,采用敏捷实践以超越市场竞争对手,以及利用市场优势来推动新的收入来源。支持这些工作的是新的应用程序体系结构,这些体系结构可提高开发效率并结合了容器,微服务和API。对于现代应用程序,敏捷性和上市时间至关重要。安全通常是次要的考虑因素,或者被完全忽略。为什么?传统应用程序的安全控制并不总是能很好地映射到业务需求。例如,通常由SecOps团队配置和操作的那种复杂的Web应用程序防火墙(WAF)通常不太适合由DevOps团队支持特定业务线部署的敏捷应用程序。结果可能是安全性不足或配置错误,上市时间延迟以及不良的用户体验。推出NGINXAppProtectNGINXAppProtect是一种新的应用程序安全解决方案,它将先进的F5WAF技术的功效与NGINXPlus的敏捷性和性能相结合。该解决方案在NGINXPlus上本地运行,并解决了现代DevOps环境面临的一些最困难的挑战:将
点赞 4
浏览 1.6k
带着这样的疑问最近翻阅了社区的几篇最新的文章,先摘录杂烩了一些特别高大上的观点,学习下。---云原生的应用程序交付似乎比想象中来的更快。NGINX受IDC委托于2019年对APImanagement做了一次调查,其中两个数据特别有意思: 1、到2020底(还有一个月),有27%的企业计划将在云中部署超过一半的应用程序。2、到2022底,云原生应用的比例将达到总应用数的35%。结合国内运营商在公有云、私有云不断的加码投入与厮杀,越来越多的证据似乎都在说明,向云迁移和云原生应用程序开发的速度与比例才是数据化转型积极与否的标志。随着云原生应用部署的增多和加快,应用交付难题又要再次被审视:安全性与可见性。在云原生应用交付中的一些痛点慢慢凸显出来:1.统一的企业级服务体验有点难:它们不一样与本地应用相比,托管在云中的应用被认为更难管理,这不是因为安全性和可见性选项更差,而仅仅是因为它们不一样。与本地部署的应用安全不同,就像一个人从学校进入社会,没有了大环境安全加持,云原生应用只能依赖于云友好工具将安全性构建到每个应用程序的生命周期中。但是,工具因云而异,质量和功能数量的级别不同,使得云迁
点赞 2
浏览 923
在上一篇云原生应用安全防护中我提到:NGINX提供一套了标准的服务针对不同场景,提供不同选择:NGINXAppProtect可以与NGINXPlus一起部署。唯一的全能性部署,可以与负载均衡、反向代理、API网关一同部署。NGINXAppProtect可以嵌入部署到NGINXIngressController,后者是容器化云原生环境最佳的流量管理方案之一。NGINXController是为多云部署的NGINXPlusinstance提供统一的管理和可视化,目前ControllerAppSecuirty正在Beta测试中。今天聊聊上面的第三条,NGINXControllerAppSecurity的基本功能特点。主角背景介绍NGINX,俄裔,16岁,精通负载均衡,反向代理,API网关等,在融入主流门派后(F5),最近新get新技能NGINXController与NGINXAppProtect;灵活小巧,不仅出招快(高性能应用交付),防守能力也很出众(WAF能力);适应能力强,可单带(独立部署),也可以团战(与云服务集成)。应用的安全的风口为何
点赞 1
浏览 1.2k