NGINX Plus 最近发布了新版本 R10,新发布的版本提高了应用程序安全性并改善了网络集成。
NGINX 公司技术产品市场部门的 Faisal Memon 称首次发布的 ModSecurity web application firewall (WAF) 受到了客户的长久期待。 R10 通过验证 JSON web tokens(JWT)支持 API 验证,并通过 elliptic curve crypto (ECC) 证书提升了 SSL/TLS 在产品中的性能。
NGINX 的产品总监 Owen Garrett阐述了 WAF 的技术方面问题:
运行在数据库上的 WAF 的“规则”可以识别恶意行为被堵塞或 / 以及被日志记录。OWASP ModSecurity core rule set(CRS) 是 ModSecurity 最广泛使用的规则集之一。NGINX Plus 的 ModSecurity WAF 使用 OWASP CRS 来识别并阻塞相当范围的应用程序攻击。
这些攻击包括 HTTP 攻击、SQL 语句注入、XSS、RFI 和 LFI 攻击,但不仅限于这些攻击。NGINX 的 WAF 还能处理 DDoS 攻击缓解,符合 PCI-DSS 6.6 标准并保护敏感数据。
Memon 称 NGINX 对于安全的改善是基于原有的简朴安全环境之上的,他告诉 InfoQ 的记者,在过去的一年中应用程序攻击增长了 50%,DDoS 攻击增加了一倍。
Memon 说:“每个应用程序都可能面临被攻击的风险”。
要使用 NGINX Plus 的 ModSecurity WAF,开发者必须将 modsecurity 指令和 modsecurity_rules_file 指令指定命令集:
upstream backend { server server-hostname; } server { listen 80; status_zone backend; modsecurity on; location / { proxy_pass http://backend; modsecurity_rules_file rule-set-file; } }
NGINX Plus R10 中重要的一点是其对 JSON Web Token (JWT) 验证标准的本地支持。
Mermon 对 InfoQ 说:
在这个版本中,NGINX Plus 可以通过客户提供的 JSON Web Tokens(JWT) 进行身份验证。这个方式比其他的方式更安全、体系结构更综合,比如说它可以让每个 API 端点自己处理身份验证。
NGINX Plus R10 允许开发者使用 RSA 和 ECC 的证书发布 SSL/TLS 服务,比使用同等强度的 RSA 证书快三倍,因此每台服务器可以进行更多 SSL/TLS 连接,并提供更快的 SSL/TLS 握手过程。ECC 证书可以允许开发者向后兼容只接受 RSA 证书的旧设备。
R10 预览中有最新的 nginScript 配置语言,让开发者可以使用 JavaScrript 实现更复杂的路由和缓存的配置,并创建不需要服务器的功能,可以直接运行在 NGINX Plus 上。
nginScript 预览在 NGINX动态模块库中可用。
NGINX Plus R10 弃用 NGINX Plus Extras 包。建议开发者修改安装和配置程序,使用 nginx-plus 包,并动态加载 nginx‑plus‑extras 包。从 NGINX Plus R10 开始,这将是使用未封装到 nginx‑plus 包的模块的唯一途径。
评论