NGINX新发布旨在解决应用程序安全性

atongmu0 2016-09-13

NGINX Plus R10最近发布,新发布的版本提高了应用程序安全性并改善了网络集成。

NGINX公司技术产品市场部门的Faisal Memon称首次发布的ModSecurity web application firewall (WAF)受到了客户的长久期待。 R10通过验证JSON web tokens(JWT)支持API验证,并通过elliptic curve crypto (ECC)证书提升了SSL/TLS在产品中的性能。

NGINX的产品总监Owen Garrett阐述了WAF的技术方面问题:

运行在数据库上的WAF的“规则”可以识别恶意行为被堵塞或/以及被日志记录。OWASP ModSecurity core rule set(CRS)是ModSecurity最广泛使用的规则集之一。NGINX Plus的ModSecurity WAF使用OWASP CRS来识别并阻塞相当范围的应用程序攻击。

这些攻击包括HTTP攻击、SQL语句注入、XSS、RFI和LFI攻击,但不仅限于这些攻击。NGINX的WAF还能处理DDoS攻击缓解,符合PCI-DSS 6.6标准并保护敏感数据。

Memon称NGINX对于安全的改善是基于原有的简朴安全环境之上的,他告诉InfoQ的记者,在过去的一年中应用程序攻击增长了50%,DDoS攻击增加了一倍。

Memon说:“每个应用程序都可能面临被攻击的风险”。

要使用NGINX Plus的ModSecurity WAF,开发者必须将modsecurity指令和modsecurity_rules_file指令指定命令集:

upstream backend {
    server server-hostname;
}


server {
    listen 80;
    status_zone backend;

    modsecurity on;
    location / {
        proxy_pass http://backend;
        modsecurity_rules_file rule-set-file;

     }
}

NGINX Plus R10中重要的一点是其对JSON Web Token (JWT) 验证标准的本地支持。

Mermon对InfoQ说:

在这个版本中,NGINX Plus可以通过客户提供的JSON Web Tokens(JWT)进行身份验证。这个方式比其他的方式更安全、体系结构更综合,比如说它可以让每个API端点自己处理身份验证。

NGINX Plus R10允许开发者使用RSA和ECC的证书发布SSL/TLS服务,比使用同等强度的RSA证书快三倍,因此每台服务器可以进行更多SSL/TLS连接,并提供更快的SSL/TLS握手过程。ECC证书可以允许开发者向后兼容只接受RSA证书的旧设备。

R10预览中有最新的nginScript配置语言,让开发者可以使用JavaScrript实现更复杂的路由和缓存的配置,并创建不需要服务器的功能,可以直接运行在NGINX Plus上。

nginScript预览在NGINX动态模块库中可用。

NGINX Plus R10弃用NGINX Plus Extras包。建议开发者修改安装和配置程序,使用nginx-plus包,并动态加载nginx‑plus‑extras包。从NGINX Plus R10开始,这将是使用未封装到nginx‑plus包的模块的唯一途径。

查看英文原文NGINX Release Targets Application Security

相关推荐

lwplvx / 0评论 2020-11-22
岁月如歌 / 0评论 2020-07-21