NGINX Plus R10最近發布,新發布的版本提高了應用程序安全性並改善了網絡集成。
NGINX公司技術產品市場部門的Faisal Memon稱首次發布的ModSecurity web application firewall (WAF)受到了客戶的長久期待。 R10通過驗證JSON web tokens(JWT)支持API驗證,並通過elliptic curve crypto (ECC)證書提升了SSL/TLS在產品中的性能。
NGINX的產品總監Owen Garrett闡述了WAF的技術方面問題:
運行在數據庫上的WAF的“規則”可以識別惡意行為被堵塞或/以及被日志記錄。OWASP ModSecurity core rule set(CRS)是ModSecurity最廣泛使用的規則集之一。NGINX Plus的ModSecurity WAF使用OWASP CRS來識別並阻塞相當范圍的應用程序攻擊。
這些攻擊包括HTTP攻擊、SQL語句注入、XSS、RFI和LFI攻擊,但不僅限於這些攻擊。NGINX的WAF還能處理DDoS攻擊緩解,符合PCI-DSS 6.6標准並保護敏感數據。
Memon稱NGINX對於安全的改善是基於原有的簡樸安全環境之上的,他告訴InfoQ的記者,在過去的一年中應用程序攻擊增長了50%,DDoS攻擊增加了一倍。
Memon說:“每個應用程序都可能面臨被攻擊的風險”。
要使用NGINX Plus的ModSecurity WAF,開發者必須將modsecurity指令和modsecurity_rules_file指令指定命令集:
upstream backend {
server server-hostname;
}
server {
listen 80;
status_zone backend;
modsecurity on;
location / {
proxy_pass http://backend;
modsecurity_rules_file rule-set-file;
}
}
NGINX Plus R10中重要的一點是其對JSON Web Token (JWT) 驗證標准的本地支持。
Mermon對InfoQ說:
在這個版本中,NGINX Plus可以通過客戶提供的JSON Web Tokens(JWT)進行身份驗證。這個方式比其他的方式更安全、體系結構更綜合,比如說它可以讓每個API端點自己處理身份驗證。
NGINX Plus R10允許開發者使用RSA和ECC的證書發布SSL/TLS服務,比使用同等強度的RSA證書快三倍,因此每台服務器可以進行更多SSL/TLS連接,並提供更快的SSL/TLS握手過程。ECC證書可以允許開發者向後兼容只接受RSA證書的舊設備。
R10預覽中有最新的nginScript配置語言,讓開發者可以使用JavaScrript實現更復雜的路由和緩存的配置,並創建不需要服務器的功能,可以直接運行在NGINX Plus上。
nginScript預覽在NGINX動態模塊庫中可用。
NGINX Plus R10棄用NGINX Plus Extras包。建議開發者修改安裝和配置程序,使用nginx-plus包,並動態加載nginx‑plus‑extras包。從NGINX Plus R10開始,這將是使用未封裝到nginx‑plus包的模塊的唯一途徑。
查看英文原文:NGINX Release Targets Application Security
