Apache è stato tradizionalmente il re dell’hosting web condiviso. È popolare, stabile, flessibile e ben supportato su una vasta gamma di piattaforme. Tuttavia, non è certamente l’unica opzione disponibile per gestire il traffico HTTP. Altre alternative, come Nginx, esistono da un po’ di tempo e stanno crescendo in uso poiché i proprietari di siti web richiedono livelli di prestazioni e scalabilità maggiori. Voglio dedicare un po’ di tempo per esaminare Nginx, alcuni dei suoi vantaggi e svantaggi, e come stiamo migliorando la sua fornitura ai nostri clienti come alternativa ai tradizionali server Apache.
Al suo interno, Nginx è un server HTTP incredibilmente efficiente e potente. Il suo modello di gestione delle richieste asincrono e su singolo thread si contrappone al modello di Apache basato su un processo per connessione. Sfruttando un ciclo di eventi veloce, un singolo processo Nginx può scalare per gestire migliaia di richieste contemporanee mantenendo un uso minimo della memoria (nella maggior parte dei carichi di lavoro comuni, solo poche decine di megabyte di RAM). Inoltre, l’architettura modulare di Nginx permette agli sviluppatori e ai membri della comunità di creare nuove soluzioni per estendere la funzionalità di Nginx. In alcuni casi, lo sviluppo di moduli open source ha generato comunità attive intorno all’estensione delle funzionalità di Nginx.
Sappiamo Che Hai Molte Opzioni VPS
Ecco come l’offerta VPS di DreamHost si distingue: supporto cliente 24/7, un panel intuitivo, RAM scalabile, larghezza di banda illimitata, domini di hosting illimitati e archiviazione SSD.
Scegli Il Tuo Piano VPSMentre abbiamo da tempo offerto Nginx per VPS e server dedicati come alternativa al tradizionale servizio Apache, non abbiamo fornito tutti gli extra campanelli e fischietti che offriamo con Apache, in particolare per quanto riguarda la sicurezza delle applicazioni integrata. Storicamente, le soluzioni community-driven per il web application firewall su Nginx sono state un po’ scarse. SpiderLabs, il team dietro la rinomata soluzione ModSecurity per Apache, ha sviluppato supporto per Nginx man mano che l’adozione del server alternativo cresceva, ma problemi di stabilità e compatibilità hanno afflitto il fork per anni. SpiderLabs sta lavorando a una nuova versione di ModSecurity progettata per essere portatile su numerosi server HTTP, ma l’impresa è ancora decisamente in fase beta. Altre soluzioni WAF per Nginx, come Naxsi (un modulo Nginx nativo progettato per prevenire attacchi XSS e SQLi), esistono, ma mancano della robustezza e del set di funzionalità che ModSecurity offre. In definitiva, non esiste una soluzione open source stabile e chiavi in mano come alternativa a ModSecurity per Nginx — fino ad ora.
Inserisci lua-resty-waf.
Questo progetto è basato sulla piattaforma OpenResty, un pacchetto software che combina il progetto originale di Nginx con l’interprete Lua e un compilatore JIT efficiente. La piattaforma consente agli utenti di sviluppare e scalare rapidamente applicazioni utilizzando il linguaggio Lua, sfruttando al contempo la flessibilità e la potenza che Nginx offre. Lua-resty-waf mira a fornire un set di funzionalità WAF compatibile con ModSecurity con Nginx, utilizzando il compilatore LuaJIT integrato per fornire una piattaforma di firewall applicativo efficiente capace di utilizzare i set di regole ModSecurity esistenti.
Lua-resty-waf è stato originariamente scritto come parte della mia tesi di laurea. L’idea dietro il progetto era di esplorare i costi, i rischi e i requisiti associati allo sviluppo di un’infrastruttura WAF cloud, simile a quella fornita dai provider di sicurezza cloud commerciali come Cloudflare e Incapsula — e poi fornire quel servizio gratuitamente. Completamente insostenibile, naturalmente, ma come esercizio accademico è stata un’esperienza educativa. Ho deciso di concentrarmi sul rilascio del codice sorgente del motore del firewall che alimentava il servizio, continuando a sviluppare funzionalità ed esplorare nuovi metodi di rilevamento di comportamenti anomali e dannosi. Mentre esaminavamo la nostra offerta Nginx su DreamHost, ci siamo resi conto che potevamo sfruttare questo progetto per fornire la stessa sicurezza delle applicazioni che utilizziamo con ModSecurity per i nostri servizi Apache.
Sviluppare questo progetto è stata un’altra grande vittoria per l’impegno di DreamHost nel contribuire ai progetti open source. Abbiamo trascorso un bel po’ degli ultimi mesi a rifattorizzare, aggiungere nuove funzionalità e testare il progetto, e ora lo stiamo offrendo agli utenti che utilizzano piattaforme moderne VPS e server dedicati. Questo significa che gli utenti di Nginx possono ora ricevere la stessa sicurezza integrata che forniamo per i servizi Apache, inclusi:
- Protezione contro le minacce zero-day per CMS popolari come WordPress, Joomla, Drupal e altri
- Mitigazione degli attacchi brute-force contro i punti di autenticazione utente delle applicazioni comuni
- Protezione da bot automatizzati dannosi e servizi di raccolta dati
- Monitoraggio della funzionalità delle piattaforme interattive, come i commenti nei blog, per spam, DDoS e sfruttamento delle vulnerabilità
- Analisi comportamentale del traffico basata sul tasso di accesso e sull’obiettivo della richiesta
Tutto ciò è fornito senza soluzione di continuità dalla piattaforma lua-resty-waf che ora è inclusa nei moderni server VPS e dedicati (per moderni, intendiamo server che utilizzano Ubuntu — se non hai ancora aggiornato, dovresti farlo!). Attivare la sicurezza per il tuo dominio è semplice come spuntare la casella “Extra Web Security” nel tuo pannello di gestione del dominio:
Allora, cosa aspetti? Controlla la casella di sicurezza e proteggi il tuo sito oggi stesso!