{"id":7446,"date":"2016-04-07T17:45:00","date_gmt":"2016-04-07T17:45:00","guid":{"rendered":"https:\/\/news.dream.press\/news\/?post_type=announcement&p=7446"},"modified":"2024-11-15T03:05:27","modified_gmt":"2024-11-15T03:05:27","slug":"einfuhrung-zusatzlicher-web-sicherheit-fur-nginx-dienste","status":"publish","type":"announcement","link":"https:\/\/news.dream.press\/news\/de\/ankundigungen-de\/einfuhrung-zusatzlicher-web-sicherheit-fur-nginx-dienste\/","title":{"rendered":"Vorstellung zus\u00e4tzlicher Websicherheit f\u00fcr Nginx-Dienste"},"content":{"rendered":"

Apache war traditionell der K\u00f6nig des Shared Hosting<\/a>. Es ist beliebt, stabil, flexibel und wird auf einer Vielzahl von Plattformen gut unterst\u00fctzt. Es ist sicherlich nicht die einzige verf\u00fcgbare Option f\u00fcr die Bereitstellung von HTTP-Verkehr. Andere Alternativen, wie Nginx<\/a>, existieren seit einer Weile und gewinnen an Nutzung, da Website-Betreiber h\u00f6here Leistungsniveaus und Skalierbarkeit fordern. Ich m\u00f6chte etwas Zeit damit verbringen, Nginx zu untersuchen, einige seiner Vorteile und Nachteile zu betrachten und wie wir seine Bereitstellung f\u00fcr unsere Kunden als Alternative zu traditionellen Apache-Servern verbessern.<\/p>\n

Im Kern ist Nginx ein unglaublich effizienter und leistungsstarker HTTP-Server<\/a>. Sein einzelthreadiges, asynchrones Anforderungsverarbeitungsmodell steht im Gegensatz zu Apaches Prozess-pro-Verbindung. Durch die Nutzung einer schnellen Ereignisschleife kann ein einziger Nginx-Prozess Tausende von gleichzeitigen Anforderungen skalieren, w\u00e4hrend der Speicherverbrauch minimal bleibt (bei den meisten g\u00e4ngigen Arbeitslasten nur einige Dutzend Megabyte RAM). Zus\u00e4tzlich erm\u00f6glicht die modulare Architektur von Nginx Entwicklern und Mitgliedern der Community, neue L\u00f6sungen zu entwickeln, um die Funktionalit\u00e4t von Nginx zu erweitern. In einigen F\u00e4llen hat die Entwicklung von Open-Source-Modulen aktive Gemeinschaften um die Erweiterung der Nginx-Funktionalit\u00e4t entstehen lassen.<\/p>\n

\n
\"Ad<\/div>\n


\nVPS Pl\u00e4ne<\/span>
\n<\/path><\/svg>
\n<\/a><\/p>\n

\n

\n Wir wissen, dass Sie viele VPS-Optionen haben
\n <\/h2>\n

\n Hier ist, was das VPS-Angebot von DreamHost auszeichnet: 24\/7 Kunden-Support, ein intuitives Panel, skalierbares RAM, unbegrenzte Bandbreite, unbegrenztes Hosting von Domains und SSD-Speicherung.\n <\/p>\n


\n\t\t\tW\u00e4hlen Sie Ihren VPS-Plan\t\t<\/a>\n<\/div>\n<\/div>\n

W\u00e4hrend wir Nginx f\u00fcr VPS und dedizierte Server schon lange als Alternative zum traditionellen Apache-Dienst anbieten<\/a>, haben wir nicht alle zus\u00e4tzlichen Funktionen bereitgestellt, die wir bei Apache tun, insbesondere im Hinblick auf integrierte Anwendungssicherheit. Historisch gesehen waren von der Gemeinschaft getriebene Webanwendungs-Firewall-L\u00f6sungen f\u00fcr Nginx etwas schwach. SpiderLabs<\/a>, das Team hinter der angesehenen ModSecurity<\/a>-L\u00f6sung f\u00fcr Apache, hat zwar Unterst\u00fctzung f\u00fcr Nginx entwickelt, da die Akzeptanz des alternativen Servers in der Gemeinschaft wuchs, aber Stabilit\u00e4ts- und Kompatibilit\u00e4tsprobleme haben den Fork jahrelang geplagt. SpiderLabs arbeitet an einer neuen Version von ModSecurity, die f\u00fcr eine Reihe von HTTP-Servern portierbar sein soll, aber das Unterfangen ist immer noch sehr in der Beta-Phase. Andere WAF-L\u00f6sungen f\u00fcr Nginx, wie Naxsi (ein natives Nginx-Modul zur Verhinderung von XSS- und SQLi-Angriffen), existieren zwar, aber es fehlt ihnen an Robustheit und Funktionsumfang, den ModSecurity bietet. Letztlich gibt es bisher keine stabile, schl\u00fcsselfertige, quelloffene L\u00f6sung als Alternative zu ModSecurity f\u00fcr Nginx \u2013 bis jetzt.<\/p>\n

Betreten Sie\u00a0<\/strong>lua-resty-waf<\/strong><\/a>.<\/strong><\/p>\n

Dieses Projekt basiert auf der OpenResty<\/a> Plattform, einem Softwarepaket, das das urspr\u00fcngliche Nginx-Projekt mit dem Lua-Interpreter und einem effizienten JIT-Compiler kombiniert. Die Plattform erm\u00f6glicht es den Benutzern, schnell Anwendungen zu entwickeln und zu skalieren, indem sie die Lua-Sprache verwenden, w\u00e4hrend sie die Flexibilit\u00e4t und Leistung nutzen, die Nginx bietet. Lua-resty-waf zielt darauf ab, ein ModSecurity-kompatibles WAF-Feature-Set mit Nginx zu bieten, wobei der integrierte LuaJIT-Compiler verwendet wird, um eine effiziente Anwendungs-Firewall-Plattform bereitzustellen, die in der Lage ist, bestehende ModSecurity-Regels\u00e4tze zu verwenden.<\/p>\n

Lua-resty-waf wurde urspr\u00fcnglich als Teil meiner Masterarbeit geschrieben. Die Idee hinter dem Projekt bestand darin, die Kosten, Risiken und Anforderungen zu erforschen, die mit der Entwicklung einer Cloud-WAF-Infrastruktur verbunden sind, \u00e4hnlich wie sie kommerzielle Cloud-Sicherheitsanbieter wie Cloudflare und Incapsula bieten \u2014 und dann diesen Dienst kostenlos anzubieten. Nat\u00fcrlich v\u00f6llig unhaltbar, aber als akademische \u00dcbung war es eine lehrreiche Erfahrung. Ich entschied mich darauf zu konzentrieren, den Quellcode des Firewall-Engines, das den Dienst antreibt, zu ver\u00f6ffentlichen, weiterhin Funktionen zu entwickeln und neue Methoden zur Erkennung von anomalem und b\u00f6sartigem Verhalten zu erforschen. Als wir unser Nginx-Angebot bei DreamHost untersuchten, erkannten wir, dass wir dieses Projekt nutzen k\u00f6nnten, um die gleiche Anwendungssicherheit zu bieten, die wir mit ModSecurity f\u00fcr unsere Apache-Dienste verwenden.<\/p>\n

Die Entwicklung dieses Projekts war ein weiterer gro\u00dfer Erfolg f\u00fcr das Engagement von DreamHost zur Unterst\u00fctzung von Open-Source-Projekten<\/a>. Wir haben einen guten Teil der letzten Monate damit verbracht, das Projekt zu \u00fcberarbeiten, neue Merkmale hinzuzuf\u00fcgen und Tests durchzuf\u00fchren, und bieten es nun Nutzern an, die auf modernen VPS- und dedizierten Serverplattformen arbeiten. Dies bedeutet, dass Nginx-Benutzer jetzt dieselbe integrierte Sicherheit erhalten k\u00f6nnen, die wir f\u00fcr Apache-Dienste bereitstellen, einschlie\u00dflich<\/strong>:<\/p>\n