atongmu0 2016-09-13
NGINX Plus R10最近发布,新发布的版本提高了应用程序安全性并改善了网络集成。
NGINX公司技术产品市场部门的Faisal Memon称首次发布的ModSecurity web application firewall (WAF)受到了客户的长久期待。 R10通过验证JSON web tokens(JWT)支持API验证,并通过elliptic curve crypto (ECC)证书提升了SSL/TLS在产品中的性能。
NGINX的产品总监Owen Garrett阐述了WAF的技术方面问题:
运行在数据库上的WAF的“规则”可以识别恶意行为被堵塞或/以及被日志记录。OWASP ModSecurity core rule set(CRS)是ModSecurity最广泛使用的规则集之一。NGINX Plus的ModSecurity WAF使用OWASP CRS来识别并阻塞相当范围的应用程序攻击。
这些攻击包括HTTP攻击、SQL语句注入、XSS、RFI和LFI攻击,但不仅限于这些攻击。NGINX的WAF还能处理DDoS攻击缓解,符合PCI-DSS 6.6标准并保护敏感数据。
Memon称NGINX对于安全的改善是基于原有的简朴安全环境之上的,他告诉InfoQ的记者,在过去的一年中应用程序攻击增长了50%,DDoS攻击增加了一倍。
Memon说:“每个应用程序都可能面临被攻击的风险”。
要使用NGINX Plus的ModSecurity WAF,开发者必须将modsecurity指令和modsecurity_rules_file指令指定命令集:
upstream backend { server server-hostname; } server { listen 80; status_zone backend; modsecurity on; location / { proxy_pass http://backend; modsecurity_rules_file rule-set-file; } }
NGINX Plus R10中重要的一点是其对JSON Web Token (JWT) 验证标准的本地支持。
Mermon对InfoQ说:
在这个版本中,NGINX Plus可以通过客户提供的JSON Web Tokens(JWT)进行身份验证。这个方式比其他的方式更安全、体系结构更综合,比如说它可以让每个API端点自己处理身份验证。
NGINX Plus R10允许开发者使用RSA和ECC的证书发布SSL/TLS服务,比使用同等强度的RSA证书快三倍,因此每台服务器可以进行更多SSL/TLS连接,并提供更快的SSL/TLS握手过程。ECC证书可以允许开发者向后兼容只接受RSA证书的旧设备。
R10预览中有最新的nginScript配置语言,让开发者可以使用JavaScrript实现更复杂的路由和缓存的配置,并创建不需要服务器的功能,可以直接运行在NGINX Plus上。
nginScript预览在NGINX动态模块库中可用。
NGINX Plus R10弃用NGINX Plus Extras包。建议开发者修改安装和配置程序,使用nginx-plus包,并动态加载nginx‑plus‑extras包。从NGINX Plus R10开始,这将是使用未封装到nginx‑plus包的模块的唯一途径。