Apache tem sido tradicionalmente o rei da hospedagem web compartilhada. É popular, estável, flexível e bem suportado em uma grande variedade de plataformas. Certamente, no entanto, não é a única opção disponível para servir tráfego HTTP. Outras alternativas, como Nginx, existem há algum tempo e estão crescendo em uso à medida que os proprietários de sites exigem maiores níveis de desempenho e escalabilidade. Quero dedicar um pouco de tempo para examinar o Nginx, alguns de seus benefícios e desvantagens, e como estamos melhorando sua provisão para nossos clientes como uma alternativa aos servidores Apache tradicionais.
Em sua essência, o Nginx é um servidor HTTP poderoso e eficiente. Seu modelo de tratamento de requisições assíncrono e de thread única contrasta com o modelo de processo por conexão do Apache. Aproveitando um loop de eventos rápido, um único processo Nginx pode escalar para lidar com milhares de solicitações simultâneas enquanto mantém o uso mínimo de memória (na maioria das cargas de trabalho comuns, apenas algumas dezenas de megabytes de RAM). Além disso, a arquitetura modular do Nginx permite que desenvolvedores e membros da comunidade construam novas soluções para estender a funcionalidade do Nginx. Em alguns casos, o desenvolvimento de módulos de código aberto gerou comunidades ativas em torno da extensão da funcionalidade do Nginx.
Sabemos que você tem várias opções de VPS
Veja como a oferta de VPS da DreamHost se destaca: suporte ao cliente 24/7, um painel intuitivo, RAM escalável, largura de banda ilimitada, domínios de hospedagem ilimitados e armazenamento SSD.
Embora há muito tempo oferecemos Nginx para VPS e servidores dedicados como uma alternativa ao tradicional serviço Apache, não fornecemos todos os extras e funcionalidades que oferecemos com o Apache, especialmente no que diz respeito à segurança de aplicativos integrada. Historicamente, as soluções de firewall de aplicativos web baseadas na comunidade para Nginx têm sido um pouco insatisfatórias. SpiderLabs, a equipe por trás da venerável solução ModSecurity para Apache, realmente desenvolveu suporte para Nginx à medida que a adoção do servidor alternativo crescia, mas problemas de estabilidade e compatibilidade têm atormentado a bifurcação por anos. O SpiderLabs está trabalhando em uma nova versão do ModSecurity projetada para ser portátil para uma série de servidores HTTP, mas o empreendimento ainda está muito em fase beta. Outras soluções WAF para Nginx, como o Naxsi (um módulo Nginx nativo projetado para prevenir ataques XSS e SQLi), existem, mas carecem da robustez e conjunto de funcionalidades que o ModSecurity oferece. Em última análise, nenhuma solução estável, pronta para uso e de código aberto existe como alternativa ao ModSecurity para Nginx — até agora.
Entre em lua-resty-waf.
Este projeto é construído na plataforma OpenResty, um pacote de software que combina o projeto original Nginx com o intérprete Lua e um compilador JIT eficiente. A plataforma permite aos usuários desenvolver e escalar aplicações rapidamente usando a linguagem Lua, enquanto aproveitam a flexibilidade e potência que o Nginx oferece. Lua-resty-waf busca fornecer um conjunto de funcionalidades WAF compatíveis com ModSecurity com o Nginx, utilizando o compilador LuaJIT integrado para fornecer uma plataforma de firewall de aplicação eficiente capaz de usar conjuntos de regras ModSecurity existentes.
Lua-resty-waf foi originalmente escrito como parte da minha Tese de Mestrado. A ideia por trás do projeto era explorar os custos, riscos e requisitos associados ao desenvolvimento de uma infraestrutura de WAF em nuvem, similar ao que provedores de segurança em nuvem comerciais como Cloudflare e Incapsula oferecem — e então fornecer esse serviço gratuitamente. Totalmente insustentável, claro, mas como um exercício acadêmico foi uma experiência educativa. Decidi focar em liberar a fonte do motor de firewall que alimenta o serviço, continuando a desenvolver funcionalidades e explorando novos métodos de detecção de comportamento anômalo e malicioso. Ao examinarmos nossa oferta de Nginx na DreamHost, percebemos que poderíamos aproveitar esse projeto para fornecer a mesma segurança de aplicação que fazemos usando ModSecurity para nossos serviços Apache.
Desenvolver este projeto foi mais uma grande conquista para o compromisso da DreamHost em contribuir para projetos de código aberto. Passamos uma boa parte dos últimos meses refatorando, adicionando novas funcionalidades e testando o projeto, e agora estamos oferecendo-o para usuários que utilizam plataformas modernas de VPS e servidores dedicados. Isso significa que os usuários de Nginx agora podem receber a mesma segurança integrada que fornecemos para serviços Apache, incluindo:
- Proteção contra ameaças zero-day para CMS populares como WordPress, Joomla, Drupal e mais
- Mitigação de ataques de força bruta contra pontos de autenticação de usuário de aplicativos comuns
- Proteção contra bots automatizados maliciosos e serviços de coleta de dados
- Monitoramento da funcionalidade interativa da plataforma, como comentários em blogs, para Spam, DDoS e exploração de vulnerabilidades
- Análise comportamental do tráfego baseada na taxa de acertos e no alvo da requisição
Tudo isso é fornecido de forma integrada pela plataforma lua-resty-waf, que agora está incluída nos modernos VPS e servidores dedicados (por modernos, entendemos servidores rodando Ubuntu — se você não atualizou, deveria!). Ativar a segurança para seu domínio é tão simples quanto marcar a caixa “Extra Web Security” dentro do seu painel de gerenciamento de domínio:
Então o que você está esperando? Marque essa caixa de segurança e proteja seu site hoje!