Présentation de la sécurité Web supplémentaire pour les services Nginx

Apache a traditionnellement été le roi de l’hébergement web partagé. Il est populaire, stable, flexible, et bien pris en charge sur une grande variété de plateformes. Ce n’est certainement pas, cependant, la seule option disponible pour desservir le trafic HTTP. D’autres alternatives, telles que Nginx, existent depuis un moment, et leur utilisation augmente à mesure que les propriétaires de sites web exigent des niveaux de performance et de scalabilité plus élevés. Je souhaite passer un peu de temps à examiner Nginx, certains de ses avantages et inconvénients, et comment nous améliorons sa fourniture à nos clients comme alternative aux serveurs Apache traditionnels.

Au cœur du système, Nginx est un serveur HTTP incroyablement efficace et puissant. Son modèle de gestion des requêtes asynchrone et mono-threadé contraste avec le processus par connexion d’Apache. En tirant parti d’une boucle d’événements rapide, un seul processus Nginx peut être dimensionné pour gérer des milliers de requêtes concurrentes tout en conservant une utilisation minimale de la mémoire (dans la plupart des charges de travail courantes, juste quelques dizaines de mégaoctets de RAM). De plus, l’architecture modulaire de Nginx permet aux développeurs et aux membres de la communauté de construire de nouvelles solutions pour étendre les fonctionnalités de Nginx. Dans certains cas, le développement de module open source a donné naissance à des communautés actives autour de l’extension des fonctionnalités de Nginx.

Alors que nous proposons depuis longtemps Nginx pour les serveurs VPS et dédiés comme alternative au service Apache traditionnel, nous n’avons pas fourni toutes les fonctionnalités supplémentaires que nous offrons avec Apache, notamment en ce qui concerne la sécurité des applications intégrées. Historiquement, les solutions de pare-feu d’application web pilotées par la communauté pour Nginx ont été quelque peu médiocres. SpiderLabs, l’équipe derrière la célèbre solution ModSecurity pour Apache, a bien développé un support pour Nginx à mesure que l’adoption communautaire du serveur alternatif augmentait, mais des problèmes de stabilité et de compatibilité ont affligé cette version pendant des années. SpiderLabs travaille sur une nouvelle version de ModSecurity conçue pour être portable sur un certain nombre de serveurs HTTP, mais l’entreprise est encore très largement en phase bêta. D’autres solutions WAF pour Nginx, telles que Naxsi (un module Nginx natif conçu pour prévenir les attaques XSS et SQLi), existent, mais manquent de robustesse et de l’ensemble de fonctionnalités que ModSecurity offre. Finalement, aucune solution open source stable et clé en main n’existait comme alternative à ModSecurity pour Nginx — jusqu’à maintenant.

Entrez lua-resty-waf.

Ce projet est construit sur la plateforme OpenResty, un ensemble de logiciels combinant le projet Nginx original avec l’interpréteur Lua et un compilateur JIT efficace. La plateforme permet aux utilisateurs de développer et d’augmenter rapidement des applications en utilisant le langage Lua, tout en profitant de la flexibilité et de la puissance que Nginx offre. Lua-resty-waf cherche à fournir un ensemble de fonctionnalités WAF compatible avec ModSecurity avec Nginx, en utilisant le compilateur LuaJIT intégré pour fournir une plateforme de pare-feu d’application efficace capable d’utiliser les jeux de règles ModSecurity existants.

Lua-resty-waf a été initialement écrit dans le cadre de ma thèse de master. L’idée derrière le projet était d’explorer les coûts, les risques et les exigences associés au développement d’une infrastructure WAF cloud, similaire à ce que des fournisseurs de sécurité cloud commerciaux comme Cloudflare et Incapsula proposent — et ensuite fournir ce service gratuitement. Totalement insoutenable, bien sûr, mais en tant qu’exercice académique, c’était une expérience éducative. J’ai décidé de me concentrer sur la publication du code source du moteur de pare-feu alimentant le service, en continuant à développer des fonctionnalités et à explorer de nouvelles méthodes de détection de comportements anormaux et malveillants. En examinant notre offre Nginx chez DreamHost, nous avons réalisé que nous pouvions tirer parti de ce projet pour fournir la même sécurité d’application que nous utilisons avec ModSecurity pour nos services Apache.

Développer ce projet a été une autre grande réussite pour l’engagement de DreamHost envers la contribution aux projets open source. Nous avons passé une bonne partie des derniers mois à refactoriser, ajouter de nouvelles fonctionnalités, et tester le projet, et nous le proposons maintenant aux utilisateurs fonctionnant sur des plateformes VPS modernes et des serveurs dédiés. Cela signifie que les utilisateurs de Nginx peuvent maintenant recevoir la même sécurité intégrée que nous fournissons pour les services Apache, y compris:

• Protection contre les menaces de jour zéro pour les CMS populaires tels que WordPress, Joomla, Drupal, et plus encore
• Atténuation des attaques par force brute contre les points de terminaison d’authentification des utilisateurs d’applications courantes
• Protection contre les bots automatisés malveillants et les services de collecte de données
• Surveillance de la fonctionnalité de plateforme interactive, telle que les commentaires de blog, pour le spam, les attaques DDoS et l’exploitation des vulnérabilités
• Analyse comportementale du trafic basée sur la fréquence des visites et la cible des requêtes

Tout cela est fourni de manière transparente par la plateforme lua-resty-waf qui est désormais intégrée dans les serveurs VPS et dédiés modernes (par moderne, nous entendons des serveurs fonctionnant sous Ubuntu — si tu n’as pas encore effectué la mise à niveau, tu devrais le faire !). Activer la sécurité pour ton domaine est aussi simple que de cocher la case « Sécurité Web supplémentaire » dans ton panneau de gestion de domaine:

Alors, qu’attends-tu ? Coche cette case de sécurité et protège ton site dès aujourd’hui !