Apache is van oudsher de koning van de shared web hosting. Het is populair, stabiel, flexibel en wordt goed ondersteund op een breed scala aan platformen. Het is zeker niet de enige optie die beschikbaar is voor het afhandelen van HTTP-verkeer. Andere alternatieven, zoals Nginx, bestaan al een tijdje en worden steeds vaker gebruikt naarmate website-eigenaren een hogere prestatie en schaalbaarheid eisen. Ik wil wat tijd besteden aan het onderzoeken van Nginx, enkele van zijn voordelen en nadelen, en hoe we de voorziening ervan aan onze klanten verbeteren als alternatief voor traditionele Apache-servers.
In de kern is Nginx een ongelooflijk efficiënte en krachtige HTTP-server. Het single-threaded, asynchrone verzoekafhandelingsmodel staat in contrast met Apache’s proces-per-verbinding. Door gebruik te maken van een snelle gebeurtenislus, kan één Nginx-proces opschalen om duizenden gelijktijdige verzoeken te verwerken terwijl het minimale geheugengebruik behoudt (in de meeste gangbare werklasten slechts enkele tientallen megabytes RAM). Bovendien stelt de modulaire architectuur van Nginx ontwikkelaars en leden van de gemeenschap in staat om nieuwe oplossingen te bouwen om de functionaliteit van Nginx uit te breiden. In sommige gevallen heeft open source-moduleontwikkeling actieve gemeenschappen rond de uitbreiding van Nginx-functionaliteit voortgebracht.
We Weten Dat Je Veel VPS Opties Hebt
Hier is hoe het VPS-aanbod van DreamHost zich onderscheidt: 24/7 klantondersteuning, een intuïtief panel, schaalbaar RAM, onbeperkte bandbreedte, onbeperkt hosting van domeinen en SSD-opslag.
Kies Je VPS PlanHoewel we al lang Nginx aanbieden voor VPS en dedicated servers als alternatief voor de traditionele Apache-service, hebben we niet alle extra functies geboden die we wel met Apache doen, vooral met betrekking tot ingebouwde applicatiebeveiliging. Historisch gezien zijn op de gemeenschap gebaseerde webtoepassingsfirewall-oplossingen voor Nginx enigszins teleurstellend geweest. SpiderLabs, het team achter de gerenommeerde ModSecurity-oplossing voor Apache, heeft wel ondersteuning gebouwd voor Nginx naarmate de community de alternatieve server meer ging gebruiken, maar stabiliteits- en compatibiliteitsproblemen hebben de fork jarenlang geplaagd. SpiderLabs werkt aan een nieuwe versie van ModSecurity die draagbaar moet zijn naar een aantal HTTP-servers, maar de onderneming bevindt zich nog steeds duidelijk in de bètafase. Andere WAF-oplossingen voor Nginx, zoals Naxsi (een native Nginx-module ontworpen om XSS- en SQLi-aanvallen te voorkomen), bestaan wel, maar missen de robuustheid en de set functies die ModSecurity biedt. Uiteindelijk bestaat er geen stabiele, kant-en-klare, open source-oplossing als alternatief voor ModSecurity voor Nginx — tot nu toe.
Voer lua-resty-waf in.
Dit project is gebouwd op het OpenResty platform, een softwarebundel die het oorspronkelijke Nginx-project combineert met de Lua-interpreter en efficiënte JIT-compiler. Het platform stelt gebruikers in staat om snel applicaties te ontwikkelen en te schalen met behulp van de Lua-taal, terwijl ze de flexibiliteit en kracht benutten die Nginx biedt. Lua-resty-waf streeft ernaar een ModSecurity-compatibele WAF-functieset te bieden met Nginx, gebruikmakend van de ingebouwde LuaJIT-compiler om een efficiënt applicatie-firewallplatform te bieden dat in staat is om bestaande ModSecurity-regelsets te gebruiken.
Lua-resty-waf is oorspronkelijk geschreven als onderdeel van mijn masterproef. Het idee achter het project was om de kosten, risico’s en vereisten te verkennen die gepaard gaan met het ontwikkelen van een cloud WAF-infrastructuur, vergelijkbaar met wat commerciële cloudbeveiligingsaanbieders zoals Cloudflare en Incapsula bieden — en vervolgens die dienst gratis aan te bieden. Volledig onhoudbaar, natuurlijk, maar als academische oefening was het een leerzame ervaring. Ik besloot me te concentreren op het vrijgeven van de bron van de firewall-engine die de dienst aandrijft, door te gaan met het ontwikkelen van functies en het verkennen van nieuwe methoden voor het detecteren van afwijkend en kwaadaardig gedrag. Toen we ons Nginx-aanbod bij DreamHost onderzochten, realiseerden we ons dat we dit project konden benutten om dezelfde applicatiebeveiliging te bieden die we doen met ModSecurity voor onze Apache-diensten.
Het ontwikkelen van dit project was weer een grote overwinning voor DreamHost’s toewijding aan het bijdragen aan open-sourceprojecten. We hebben de afgelopen maanden flink wat tijd besteed aan het herstructureren, toevoegen van nieuwe functies en het testen van het project, en bieden het nu aan gebruikers die draaien op moderne VPS- en dedicated serverplatforms. Dit betekent dat Nginx-gebruikers nu dezelfde ingebouwde beveiliging kunnen ontvangen die we bieden voor Apache-services, inclusief:
- Bescherming tegen zero-day bedreigingen voor populaire CMSen zoals WordPress, Joomla, Drupal en meer
- Mitigatie van brute-force aanvallen tegen veelgebruikte authenticatie-eindpunten van applicatiegebruikers
- Bescherming tegen kwaadaardige geautomatiseerde bots en diensten voor het oogsten van gegevens
- Monitoring van interactieve platformfunctionaliteit, zoals blogreacties, op spam, DDoS en kwetsbaarheidsexploitatie
- Gedragsanalyse van verkeer op basis van hitsnelheid en doel van de aanvraag
Dit alles wordt naadloos aangeboden door het lua-resty-waf platform dat nu is ingebouwd in moderne VPS en dedicated servers (met modern bedoelen we servers die Ubuntu draaien — als je nog niet hebt geüpgraded, zou je dat moeten doen!). Het inschakelen van de beveiliging voor je domein is zo eenvoudig als het aanvinken van het “Extra Web Security” vakje in je domeinbeheerpaneel:
Waar wacht je nog op? Vink dat beveiligingsvakje aan en bescherm je site vandaag nog!