Apache war traditionell der König des Shared Hosting. Es ist beliebt, stabil, flexibel und wird auf einer Vielzahl von Plattformen gut unterstützt. Es ist sicherlich nicht die einzige verfügbare Option für die Bereitstellung von HTTP-Verkehr. Andere Alternativen, wie Nginx, existieren seit einer Weile und gewinnen an Nutzung, da Website-Betreiber höhere Leistungsniveaus und Skalierbarkeit fordern. Ich möchte etwas Zeit damit verbringen, Nginx zu untersuchen, einige seiner Vorteile und Nachteile zu betrachten und wie wir seine Bereitstellung für unsere Kunden als Alternative zu traditionellen Apache-Servern verbessern.
Im Kern ist Nginx ein unglaublich effizienter und leistungsstarker HTTP-Server. Sein einzelthreadiges, asynchrones Anforderungsverarbeitungsmodell steht im Gegensatz zu Apaches Prozess-pro-Verbindung. Durch die Nutzung einer schnellen Ereignisschleife kann ein einziger Nginx-Prozess Tausende von gleichzeitigen Anforderungen skalieren, während der Speicherverbrauch minimal bleibt (bei den meisten gängigen Arbeitslasten nur einige Dutzend Megabyte RAM). Zusätzlich ermöglicht die modulare Architektur von Nginx Entwicklern und Mitgliedern der Community, neue Lösungen zu entwickeln, um die Funktionalität von Nginx zu erweitern. In einigen Fällen hat die Entwicklung von Open-Source-Modulen aktive Gemeinschaften um die Erweiterung der Nginx-Funktionalität entstehen lassen.
Wir wissen, dass Sie viele VPS-Optionen haben
Hier ist, was das VPS-Angebot von DreamHost auszeichnet: 24/7 Kunden-Support, ein intuitives Panel, skalierbares RAM, unbegrenzte Bandbreite, unbegrenztes Hosting von Domains und SSD-Speicherung.
Während wir Nginx für VPS und dedizierte Server schon lange als Alternative zum traditionellen Apache-Dienst anbieten, haben wir nicht alle zusätzlichen Funktionen bereitgestellt, die wir bei Apache tun, insbesondere im Hinblick auf integrierte Anwendungssicherheit. Historisch gesehen waren von der Gemeinschaft getriebene Webanwendungs-Firewall-Lösungen für Nginx etwas schwach. SpiderLabs, das Team hinter der angesehenen ModSecurity-Lösung für Apache, hat zwar Unterstützung für Nginx entwickelt, da die Akzeptanz des alternativen Servers in der Gemeinschaft wuchs, aber Stabilitäts- und Kompatibilitätsprobleme haben den Fork jahrelang geplagt. SpiderLabs arbeitet an einer neuen Version von ModSecurity, die für eine Reihe von HTTP-Servern portierbar sein soll, aber das Unterfangen ist immer noch sehr in der Beta-Phase. Andere WAF-Lösungen für Nginx, wie Naxsi (ein natives Nginx-Modul zur Verhinderung von XSS- und SQLi-Angriffen), existieren zwar, aber es fehlt ihnen an Robustheit und Funktionsumfang, den ModSecurity bietet. Letztlich gibt es bisher keine stabile, schlüsselfertige, quelloffene Lösung als Alternative zu ModSecurity für Nginx – bis jetzt.
Betreten Sie lua-resty-waf.
Dieses Projekt basiert auf der OpenResty Plattform, einem Softwarepaket, das das ursprüngliche Nginx-Projekt mit dem Lua-Interpreter und einem effizienten JIT-Compiler kombiniert. Die Plattform ermöglicht es den Benutzern, schnell Anwendungen zu entwickeln und zu skalieren, indem sie die Lua-Sprache verwenden, während sie die Flexibilität und Leistung nutzen, die Nginx bietet. Lua-resty-waf zielt darauf ab, ein ModSecurity-kompatibles WAF-Feature-Set mit Nginx zu bieten, wobei der integrierte LuaJIT-Compiler verwendet wird, um eine effiziente Anwendungs-Firewall-Plattform bereitzustellen, die in der Lage ist, bestehende ModSecurity-Regelsätze zu verwenden.
Lua-resty-waf wurde ursprünglich als Teil meiner Masterarbeit geschrieben. Die Idee hinter dem Projekt bestand darin, die Kosten, Risiken und Anforderungen zu erforschen, die mit der Entwicklung einer Cloud-WAF-Infrastruktur verbunden sind, ähnlich wie sie kommerzielle Cloud-Sicherheitsanbieter wie Cloudflare und Incapsula bieten — und dann diesen Dienst kostenlos anzubieten. Natürlich völlig unhaltbar, aber als akademische Übung war es eine lehrreiche Erfahrung. Ich entschied mich darauf zu konzentrieren, den Quellcode des Firewall-Engines, das den Dienst antreibt, zu veröffentlichen, weiterhin Funktionen zu entwickeln und neue Methoden zur Erkennung von anomalem und bösartigem Verhalten zu erforschen. Als wir unser Nginx-Angebot bei DreamHost untersuchten, erkannten wir, dass wir dieses Projekt nutzen könnten, um die gleiche Anwendungssicherheit zu bieten, die wir mit ModSecurity für unsere Apache-Dienste verwenden.
Die Entwicklung dieses Projekts war ein weiterer großer Erfolg für das Engagement von DreamHost zur Unterstützung von Open-Source-Projekten. Wir haben einen guten Teil der letzten Monate damit verbracht, das Projekt zu überarbeiten, neue Merkmale hinzuzufügen und Tests durchzuführen, und bieten es nun Nutzern an, die auf modernen VPS- und dedizierten Serverplattformen arbeiten. Dies bedeutet, dass Nginx-Benutzer jetzt dieselbe integrierte Sicherheit erhalten können, die wir für Apache-Dienste bereitstellen, einschließlich:
- Schutz gegen Zero-Day-Bedrohungen für beliebte CMS wie WordPress, Joomla, Drupal und mehr
- Minderung von Brute-Force-Angriffen gegen gängige Authentifizierungsendpunkte von Anwendungen
- Schutz vor bösartigen automatisierten Bots und Datenerntediensten
- Überwachung der interaktiven Plattformfunktionalität, wie Blog-Kommentare, auf Spam, DDoS und Ausnutzung von Schwachstellen
- Verhaltensanalyse des Traffics basierend auf Trefferrate und Anfrageziel
All dies wird nahtlos von der lua-resty-waf-Plattform bereitgestellt, die jetzt in moderne VPS und dedizierte Server integriert ist (mit modern meinen wir Server, die Ubuntu ausführen — wenn Sie noch nicht aufgerüstet haben, sollten Sie das tun!). Das Aktivieren der Sicherheit für Ihren Domain ist so einfach, wie das Kontrollkästchen „Extra Web Security“ in Ihrem Domainverwaltungs-Panel anzukreuzen:
Worauf warten Sie noch? Kreuzen Sie das Sicherheitsfeld an und schützen Sie Ihre Website noch heute!