NGINX新发布旨在处理应用程序安全性
发布时间:2021-11-18 16:27:03 所属栏目:教程 来源:互联网
导读:NGINX Plus R10最近发布,新发布的版本提高了应用程序安全性并改善了网络集成。 NGINX公司技术产品市场部门的Faisal Memon称首次发布的ModSecurity web application firewall (WAF)受到了客户的长久期待。 R10通过验证JSON web tokens(JWT)支持API验证,并
|
NGINX Plus R10最近发布,新发布的版本提高了应用程序安全性并改善了网络集成。 NGINX公司技术产品市场部门的Faisal Memon称首次发布的ModSecurity web application firewall (WAF)受到了客户的长久期待。 R10通过验证JSON web tokens(JWT)支持API验证,并通过elliptic curve crypto (ECC)证书提升了SSL/TLS在产品中的性能。 NGINX的产品总监Owen Garrett阐述了WAF的技术方面问题: 运行在数据库上的WAF的“规则”可以识别恶意行为被堵塞或/以及被日志记录。OWASP ModSecurity core rule set(CRS)是ModSecurity最广泛使用的规则集之一。NGINX Plus的ModSecurity WAF使用OWASP CRS来识别并阻塞相当范围的应用程序攻击。 这些攻击包括HTTP攻击、SQL语句注入、XSS、RFI和LFI攻击,但不仅限于这些攻击。NGINX的WAF还能处理DDoS攻击缓解,符合PCI-DSS 6.6标准并保护敏感数据。 Memon称NGINX对于安全的改善是基于原有的简朴安全环境之上的,他告诉InfoQ的记者,在过去的一年中应用程序攻击增长了50%,DDoS攻击增加了一倍。 Memon说:“每个应用程序都可能面临被攻击的风险”。 要使用NGINX Plus的ModSecurity WAF,开发者必须将modsecurity指令和modsecurity_rules_file指令指定命令集: upstream backend { server server-hostname; } server { listen 80; status_zone backend; modsecurity on; location / { proxy_pass http://backend; modsecurity_rules_file rule-set-file; } } NGINX Plus R10中重要的一点是其对JSON Web Token (JWT) 验证标准的本地支持。 Mermon对InfoQ说: 在这个版本中,NGINX Plus可以通过客户提供的JSON Web Tokens(JWT)进行身份验证。这个方式比其他的方式更安全、体系结构更综合,比如说它可以让每个API端点自己处理身份验证。 NGINX Plus R10允许开发者使用RSA和ECC的证书发布SSL/TLS服务,比使用同等强度的RSA证书快三倍,因此每台服务器可以进行更多SSL/TLS连接,并提供更快的SSL/TLS握手过程。ECC证书可以允许开发者向后兼容只接受RSA证书的旧设备。 R10预览中有最新的nginScript配置语言,让开发者可以使用JavaScrript实现更复杂的路由和缓存的配置,并创建不需要服务器的功能,可以直接运行在NGINX Plus上。 nginScript预览在NGINX动态模块库中可用。 NGINX Plus R10弃用NGINX Plus Extras包。建议开发者修改安装和配置程序,使用nginx-plus包,并动态加载nginx‑plus‑extras包。从NGINX Plus R10开始,这将是使用未封装到nginx‑plus包的模块的唯一途径。  (编辑:济南站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
