腾讯亿级用户规模自研业务的上云实践解读,立即报名 了解详情
写点什么

NGINX 发布新版本,旨在解决应用程序安全性

  • 2016-09-12
  • 本文字数:1111 字

    阅读完需:约 4 分钟

NGINX Plus 最近发布了新版本 R10,新发布的版本提高了应用程序安全性并改善了网络集成。

NGINX 公司技术产品市场部门的 Faisal Memon 称首次发布的 ModSecurity web application firewall (WAF) 受到了客户的长久期待。 R10 通过验证 JSON web tokens(JWT)支持 API 验证,并通过 elliptic curve crypto (ECC) 证书提升了 SSL/TLS 在产品中的性能。

NGINX 的产品总监 Owen Garrett阐述了 WAF 的技术方面问题:

运行在数据库上的 WAF 的“规则”可以识别恶意行为被堵塞或 / 以及被日志记录。OWASP ModSecurity core rule set(CRS) 是 ModSecurity 最广泛使用的规则集之一。NGINX Plus 的 ModSecurity WAF 使用 OWASP CRS 来识别并阻塞相当范围的应用程序攻击。

这些攻击包括 HTTP 攻击、SQL 语句注入、XSS、RFI 和 LFI 攻击,但不仅限于这些攻击。NGINX 的 WAF 还能处理 DDoS 攻击缓解,符合 PCI-DSS 6.6 标准并保护敏感数据。

Memon 称 NGINX 对于安全的改善是基于原有的简朴安全环境之上的,他告诉 InfoQ 的记者,在过去的一年中应用程序攻击增长了 50%,DDoS 攻击增加了一倍。

Memon 说:“每个应用程序都可能面临被攻击的风险”。

要使用 NGINX Plus 的 ModSecurity WAF,开发者必须将 modsecurity 指令和 modsecurity_rules_file 指令指定命令集:

复制代码
upstream backend {
server server-hostname;
}
server {
listen 80;
status_zone backend;
modsecurity on;
location / {
proxy_pass http://backend;
modsecurity_rules_file rule-set-file;
}
}

NGINX Plus R10 中重要的一点是其对 JSON Web Token (JWT) 验证标准的本地支持。

Mermon 对 InfoQ 说:

在这个版本中,NGINX Plus 可以通过客户提供的 JSON Web Tokens(JWT) 进行身份验证。这个方式比其他的方式更安全、体系结构更综合,比如说它可以让每个 API 端点自己处理身份验证。

NGINX Plus R10 允许开发者使用 RSA 和 ECC 的证书发布 SSL/TLS 服务,比使用同等强度的 RSA 证书快三倍,因此每台服务器可以进行更多 SSL/TLS 连接,并提供更快的 SSL/TLS 握手过程。ECC 证书可以允许开发者向后兼容只接受 RSA 证书的旧设备。

R10 预览中有最新的 nginScript 配置语言,让开发者可以使用 JavaScrript 实现更复杂的路由和缓存的配置,并创建不需要服务器的功能,可以直接运行在 NGINX Plus 上。

nginScript 预览在 NGINX动态模块库中可用。

NGINX Plus R10 弃用 NGINX Plus Extras 包。建议开发者修改安装和配置程序,使用 nginx-plus 包,并动态加载 nginx‑plus‑extras 包。从 NGINX Plus R10 开始,这将是使用未封装到 nginx‑plus 包的模块的唯一途径。

查看英文原文 NGINX Release Targets Application Security

2016-09-12 19:002730
用户头像

发布了 218 篇内容, 共 59.1 次阅读, 收获喜欢 73 次。

关注

评论

发布
暂无评论
发现更多内容

开发者时薪高达1200美元?一文带你走近Move语言的编程魅力!

TinTinLand

区块链 开发者 开发语言 Move

我们总结了 3 大使用建议,并首次公开 Nacos 3.0 规划图 | Nacos 开源 4 周年

阿里巴巴云原生

阿里云 开源 微服务 云原生 nacos

MQTT over QUIC:下一代物联网标准协议为消息传输场景注入新动力

EMQ映云科技

车联网 物联网 mqtt emqx 8月月更

TDesign 品牌价值观

TDesign

实证与虚无,抽象和具象,Go lang1.18入门精炼教程,由白丁入鸿儒,Go lang接口(interface)的使用EP08

刘悦的技术博客

Go 编程 教程 Go web 教程分享

在知识经济的年代,让你学会如何经营好自己的知识

Baklib

“以太坊杀手” Polkadot 何以在一众公链中脱颖而出

One Block Community

区块链 去中心化 跨链技术 波卡生态

估价器测试工具的实现

转转技术团队

测试工具

如何提升IT对业务发展的贡献度

凌晞

数字化 构架 IT管理

SpringMVC(五、AOP)

开源 springmvc spring aop 8月月更

解析 RocketMQ 业务消息——“事务消息”

阿里巴巴云原生

阿里云 RocketMQ 云原生 消息队列

虚位以待!一大波 Web3 公司开发岗位来袭

TinTinLand

区块链 软件开发 招聘

基于AQS实现自己的同步工具

自然

多线程 并发 8月月更

复盘:如何更好的进行技术面试

老张

面试

30分钟成为Contributor|共建测试子系统,赋能提升项目代码质量

OpenHarmony开发者社区

OpenHarmony

如何通过FinOps实现企业云成本优化?——信通院《中国FinOps产业发展现状研究报告》解读

星汉未来

云原生 k8s IT FinOps 云成本优化

L2必读 | 走进 AnyTrust 技术底层,数据可用性和最小信任假设如何实现

TinTinLand

区块链 以太坊 扩容 技术文章

开源一夏 | 拥抱新技术?你需要考虑的方面

微枫Micromaple

开源 经验总结 技术栈 技术分享 8月月更

软件架构治理 之 如何度量软件架构

码猿外

架构设计 软件架构治理

史上最全的Java并发系列之Java中的13个原子操作类

自然

多线程 并发 Java core 8月月更

有一说一!阿里巴巴8月最新发布的这份Spring Cloud Alibaba学习笔记,几乎涵盖了其所有操作

程序员小毕

Java 程序员 面试 微服务 SpringCloud

直播预告 | 如何从 0 到 1 打造敏捷团队?

Authing 身份云

基于Redis实现DelayQueue延迟队列设计方案

石臻臻的杂货铺

redis' 8月月更

开源一夏 | 你不能错过的 Go 强大图形化测试工具

宇宙之一粟

开源 测试框架 testing Go 语言 8月月更

史上最全的Java并发系列之Java中的并发工具类

自然

多线程 并发 8月月更

深度学习公式推导:从神经元出发

老崔说架构

参与openEuler社区不到1年,我成为了社区Maintainer……

openEuler

openEuler 开源社区 社区运营 #开源

SRv6在5G移动网络中的部署方式

穿过生命散发芬芳

8月月更 SRv6

知识管理的成熟,需要具备什么条件?

Baklib

转转用例平台系列 - 脑图组件2.0

转转技术团队

测试开发 测试用例平台开发

NGINX发布新版本,旨在解决应用程序安全性_JavaScript_James Chesters_InfoQ精选文章