你好,游客 登录 注册 搜索
背景:
阅读新闻

NGINX新发布旨在解决应用程序安全性

[日期:2016-09-13] 来源:infoq.com  作者:James Chesters ,译者 刘嘉洋 [字体: ]

NGINX Plus R10最近发布,新发布的版本提高了应用程序安全性并改善了网络集成。

NGINX公司技术产品市场部门的Faisal Memon称首次发布的ModSecurity web application firewall (WAF)受到了客户的长久期待。 R10通过验证JSON web tokens(JWT)支持API验证,并通过elliptic curve crypto (ECC)证书提升了SSL/TLS在产品中的性能。

NGINX的产品总监Owen Garrett阐述了WAF的技术方面问题:

运行在数据库上的WAF的“规则”可以识别恶意行为被堵塞或/以及被日志记录。OWASP ModSecurity core rule set(CRS)是ModSecurity最广泛使用的规则集之一。NGINX Plus的ModSecurity WAF使用OWASP CRS来识别并阻塞相当范围的应用程序攻击。

这些攻击包括HTTP攻击、SQL语句注入、XSS、RFI和LFI攻击,但不仅限于这些攻击。NGINX的WAF还能处理DDoS攻击缓解,符合PCI-DSS 6.6标准并保护敏感数据。

Memon称NGINX对于安全的改善是基于原有的简朴安全环境之上的,他告诉InfoQ的记者,在过去的一年中应用程序攻击增长了50%,DDoS攻击增加了一倍。

Memon说:“每个应用程序都可能面临被攻击的风险”。

要使用NGINX Plus的ModSecurity WAF,开发者必须将modsecurity指令和modsecurity_rules_file指令指定命令集:

upstream backend {
    server server-hostname;
}


server {
    listen 80;
    status_zone backend;

    modsecurity on;
    location / {
        proxy_pass http://backend;
        modsecurity_rules_file rule-set-file;

     }
}

NGINX Plus R10中重要的一点是其对JSON Web Token (JWT) 验证标准的本地支持。

Mermon对InfoQ说:

在这个版本中,NGINX Plus可以通过客户提供的JSON Web Tokens(JWT)进行身份验证。这个方式比其他的方式更安全、体系结构更综合,比如说它可以让每个API端点自己处理身份验证。

NGINX Plus R10允许开发者使用RSA和ECC的证书发布SSL/TLS服务,比使用同等强度的RSA证书快三倍,因此每台服务器可以进行更多SSL/TLS连接,并提供更快的SSL/TLS握手过程。ECC证书可以允许开发者向后兼容只接受RSA证书的旧设备。

R10预览中有最新的nginScript配置语言,让开发者可以使用JavaScrript实现更复杂的路由和缓存的配置,并创建不需要服务器的功能,可以直接运行在NGINX Plus上。

nginScript预览在NGINX动态模块库中可用。

NGINX Plus R10弃用NGINX Plus Extras包。建议开发者修改安装和配置程序,使用nginx-plus包,并动态加载nginx‑plus‑extras包。从NGINX Plus R10开始,这将是使用未封装到nginx‑plus包的模块的唯一途径。

查看英文原文NGINX Release Targets Application Security

本文永久更新链接地址http://www.linuxidc.com/Linux/2016-09/135173.htm

linux
相关资讯       NGINX安全性 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款