NGINX 发布新版本,旨在解决应用程序安全性

阅读数:2168 2016 年 9 月 12 日

话题:JavaScript语言 & 开发

NGINX Plus 最近发布了新版本 R10,新发布的版本提高了应用程序安全性并改善了网络集成。

NGINX 公司技术产品市场部门的 Faisal Memon 称首次发布的 ModSecurity web application firewall (WAF) 受到了客户的长久期待。 R10 通过验证 JSON web tokens(JWT)支持 API 验证,并通过 elliptic curve crypto (ECC) 证书提升了 SSL/TLS 在产品中的性能。

NGINX 的产品总监 Owen Garrett阐述了 WAF 的技术方面问题:

运行在数据库上的 WAF 的“规则”可以识别恶意行为被堵塞或 / 以及被日志记录。OWASP ModSecurity core rule set(CRS) 是 ModSecurity 最广泛使用的规则集之一。NGINX Plus 的 ModSecurity WAF 使用 OWASP CRS 来识别并阻塞相当范围的应用程序攻击。

这些攻击包括 HTTP 攻击、SQL 语句注入、XSS、RFI 和 LFI 攻击,但不仅限于这些攻击。NGINX 的 WAF 还能处理 DDoS 攻击缓解,符合 PCI-DSS 6.6 标准并保护敏感数据。

Memon 称 NGINX 对于安全的改善是基于原有的简朴安全环境之上的,他告诉 InfoQ 的记者,在过去的一年中应用程序攻击增长了 50%,DDoS 攻击增加了一倍。

Memon 说:“每个应用程序都可能面临被攻击的风险”。

要使用 NGINX Plus 的 ModSecurity WAF,开发者必须将 modsecurity 指令和 modsecurity_rules_file 指令指定命令集:

复制代码
upstream backend {
server server-hostname;
}
server {
listen 80;
status_zone backend;
modsecurity on;
location / {
proxy_pass http://backend;
modsecurity_rules_file rule-set-file;
}
}

NGINX Plus R10 中重要的一点是其对 JSON Web Token (JWT) 验证标准的本地支持。

Mermon 对 InfoQ 说:

在这个版本中,NGINX Plus 可以通过客户提供的 JSON Web Tokens(JWT) 进行身份验证。这个方式比其他的方式更安全、体系结构更综合,比如说它可以让每个 API 端点自己处理身份验证。

NGINX Plus R10 允许开发者使用 RSA 和 ECC 的证书发布 SSL/TLS 服务,比使用同等强度的 RSA 证书快三倍,因此每台服务器可以进行更多 SSL/TLS 连接,并提供更快的 SSL/TLS 握手过程。ECC 证书可以允许开发者向后兼容只接受 RSA 证书的旧设备。

R10 预览中有最新的 nginScript 配置语言,让开发者可以使用 JavaScrript 实现更复杂的路由和缓存的配置,并创建不需要服务器的功能,可以直接运行在 NGINX Plus 上。

nginScript 预览在 NGINX动态模块库中可用。

NGINX Plus R10 弃用 NGINX Plus Extras 包。建议开发者修改安装和配置程序,使用 nginx-plus 包,并动态加载 nginx‑plus‑extras 包。从 NGINX Plus R10 开始,这将是使用未封装到 nginx‑plus 包的模块的唯一途径。

查看英文原文NGINX Release Targets Application Security