Anuncios

Introduciendo Seguridad Web Extra para Servicios Nginx

Introducing Extra Web Security for Nginx Services thumbnail

Apache ha sido tradicionalmente el rey del hosting web compartido. Es popular, estable, flexible y bien soportado en una amplia variedad de plataformas. Sin embargo, ciertamente no es la única opción disponible para servir tráfico HTTP. Otras alternativas, como Nginx, han existido durante un tiempo y están creciendo en uso a medida que los propietarios de sitios web exigen mayores niveles de rendimiento y escalabilidad. Quiero dedicar un poco de tiempo a examinar Nginx, algunos de sus beneficios y desventajas, y cómo estamos mejorando su provisión a nuestros clientes como una alternativa a los servidores Apache tradicionales.

En su esencia, Nginx es un servidor HTTP increíblemente eficiente y potente. Su modelo de manejo de solicitudes asincrónico y de un solo hilo contrasta con el proceso por conexión de Apache. Al aprovechar un bucle de eventos rápido, un solo proceso de Nginx puede escalar para manejar miles de solicitudes concurrentes mientras mantiene un uso mínimo de memoria (en la mayoría de las cargas de trabajo comunes, solo unas pocas docenas de megabytes de RAM). Además, la arquitectura modular de Nginx permite a los desarrolladores y miembros de la comunidad construir nuevas soluciones para extender la funcionalidad de Nginx. En algunos casos, el desarrollo de módulos de código abierto ha generado comunidades activas en torno a la extensión de la funcionalidad de Nginx.

Imagen de fondo de anuncio


Planes VPS

Sabemos que tienes muchas opciones de VPS

Aquí te mostramos cómo se diferencia la oferta de VPS de DreamHost: soporte al cliente 24/7, un Panel intuitivo, RAM escalable, Ancho de Banda ilimitado, dominios de hosting ilimitados y almacenamiento SSD.


Elije tu plan VPS

Mientras hemos ofrecido Nginx para VPS y servidores dedicados como una alternativa al servicio tradicional de Apache, no hemos proporcionado todos los extras y funcionalidades que sí ofrecemos con Apache, especialmente en lo que respecta a la seguridad de aplicaciones integrada. Históricamente, las soluciones de firewall de aplicaciones web impulsadas por la comunidad para Nginx han sido algo mediocres. SpiderLabs, el equipo detrás de la venerable solución ModSecurity para Apache, sí desarrolló soporte para Nginx a medida que la adopción del servidor alternativo crecía, pero problemas de estabilidad y compatibilidad han plagado la bifurcación durante años. SpiderLabs está trabajando en una nueva versión de ModSecurity diseñada para ser portátil a varios servidores HTTP, pero el esfuerzo todavía está muy en beta. Otras soluciones WAF para Nginx, como Naxsi (un módulo nativo de Nginx diseñado para prevenir ataques XSS y SQLi), sí existen, pero carecen de la solidez y el conjunto de características que proporciona ModSecurity. Finalmente, no existe una solución estable, llave en mano y de código abierto como alternativa a ModSecurity para Nginx — hasta ahora.

Ingresa a lua-resty-waf.

Este proyecto está construido en la plataforma OpenResty, un paquete de software que combina el proyecto original de Nginx con el intérprete Lua y un compilador JIT eficiente. La plataforma permite a los usuarios desarrollar y escalar aplicaciones rápidamente usando el lenguaje Lua, mientras aprovechan la flexibilidad y potencia que proporciona Nginx. Lua-resty-waf busca ofrecer un conjunto de características de WAF compatibles con ModSecurity con Nginx, utilizando el compilador LuaJIT incorporado para proporcionar una plataforma de firewall de aplicaciones eficiente capaz de utilizar los conjuntos de reglas existentes de ModSecurity.

Lua-resty-waf fue originalmente escrito como parte de mi Tesis de Maestría. La idea detrás del proyecto era explorar los costos, riesgos y requisitos asociados con el desarrollo de una infraestructura WAF en la nube, similar a lo que proveedores de seguridad en la nube como Cloudflare e Incapsula ofrecen — y luego proporcionar ese servicio de forma gratuita. Totalmente insostenible, por supuesto, pero como ejercicio académico fue una experiencia educativa. Decidí concentrarme en liberar el código fuente del motor de firewall que alimenta el servicio, continuar desarrollando funcionalidades y explorar nuevos métodos de detección de comportamientos anómalos y maliciosos. Al examinar nuestra oferta de Nginx en DreamHost, nos dimos cuenta de que podríamos aprovechar este proyecto para proporcionar la misma seguridad de aplicaciones que utilizamos con ModSecurity para nuestros servicios de Apache.

Desarrollar este proyecto ha sido otro gran logro para el compromiso de DreamHost con la contribución a proyectos de código abierto. Hemos pasado una buena parte de los últimos meses refactorizando, añadiendo nuevas funcionalidades y probando el proyecto, y ahora lo estamos ofreciendo a usuarios que operan en plataformas modernas de VPS y servidores dedicados. Esto significa que los usuarios de Nginx ahora pueden recibir la misma seguridad integrada que proporcionamos para los servicios de Apache, incluyendo:

  • Protección contra amenazas de día cero para CMS populares como WordPress, Joomla, Drupal y más
  • Mitigación de ataques de fuerza bruta contra puntos de autenticación de usuario de aplicaciones comunes
  • Protección contra bots automatizados maliciosos y servicios de recolección de datos
  • Monitoreo de la funcionalidad de plataformas interactivas, como comentarios en blogs, para Spam, DDoS y explotación de vulnerabilidades
  • Análisis del comportamiento del tráfico basado en la tasa de hits y el objetivo de la solicitud

Todo esto se proporciona de manera fluida por la plataforma lua-resty-waf que ahora viene integrada en los VPS modernos y servidores dedicados (por modernos, nos referimos a servidores que ejecutan Ubuntu — si no has actualizado, ¡deberías!). Habilitar la seguridad para tu dominio es tan simple como marcar la casilla de “Extra Web Security” dentro de tu panel de gestión de dominio:

Nginx

¿Entonces, qué estás esperando? ¡Marca esa casilla de seguridad y protege tu sitio hoy!