NGINX Plus R10がリリースされ、アプリケーションセキュリティの改善とネットワーク統合に焦点が当てられている。
NGINXの技術プロダクトマーケティングを担当するFaisal Memon氏は、ModSecurity Webアプリケーションファイアウォール(WAF)の初期リリースを、顧客から"長い間問い合わせのあった"ものであると記している。R10はJSON Webトークン(JWT)検証によるAPI認証をサポートし、楕円曲線暗号(ECC)証明書のサポートとともにSSL/TLSの性能改善を図っている。
Webアプリケーションファイアウォールの技術面に関する説明として、NGINXの製品主席であるOwen Garrett氏は以下のように述べている。
WAFはルールのデータベースを操作します。このデータベースはブロック・ロギングすべき悪意のある振る舞いを定義しています。OWASP ModSecurityコアルールセット(CRS)はModSecurityと用いられる最も広く使用されているルールの1つです。NGINX PlusとModSecurity WAFはOWASP CRSを使用して広い範囲のアプリケーションに対する攻撃の特定とブロックを行います。
これらの攻撃はHTTP違反、SQLインジェクション、XSS、RFIとLFI攻撃を含むが、これらに限らない。NGINXのWAFはDDoSの緩和、PCI-DSS 6.6への準拠、そして極秘データのプロテクト機能も含んでいる。
Memon氏はNGINXは厳しいセキュリティ状況に起因してセキュリティ改善を同期づけられたと述べ、昨年Webアプリケーションへの攻撃は50%増加し、DDoS攻撃は2倍以上となったことをInfoQに告げた。
"全てのアプリケーションは現在攻撃されるリスクを抱えています"とMemon氏は語る。
ModSecurity WAF for EGINX Plusを有効化するには、開発者はmodsecurityディレクティブを、ルールセットを指定するためのmodsecurity_rules_fileディレクティブと共に指定する必要がある。
upstream backend {
server server-hostname;
}
server {
listen 80;
status_zone backend;
modsecurity on;
location / {
proxy_pass http://backend;
modsecurity_rules_file rule-set-file;
}
}
NGINX Plus R10リリースの重要点としてJSON Web Token(JWT)認証標準の組み込みサポートがある。
Memon氏はInfoQにこう語った。
このリリースにより、NGINX Plusはついに提示されたJSON Web Tokens(JWT)を検証することによりクライアントを認証することが可能になりました。これにより各APIエンドポイントが認証処理そのものを処理するような他の選択肢よりもセキュアで統合されたアーキテクチャを提供します。
NGINX Plus R10はRSAとECC証明書の両方を用いてSSL/TLSサービスを提供することを可能とし、これは等価な強度を持つRSA証明書よりも最大3倍高速である。サーバあたりのSSL/TLSのコネクションは増加し、SSL/TLSのハンドシェイクが高速になる。ECC証明書はRSA証明書のみを受け付ける古い装置のための後方互換性を維持することができる。
R10のプレビューは新しいnginScript設定言語が用いられ、これはJavaScriptを用いることによりより複雑なルーティングやキャッシュ設定を実装することを可能にし、NGNX Plus上でダイレクトに実行されるサーバレスファンクションを生成することができる。
nginScriptプレビューはNGINX動的モジュールリポジトリで入手可能となっている。
NGINX Plus R10ではNGINX Plus Extrasパッケージが非推奨となっている。開発者はnginx-plusパッケージを用いてインストールと設定処理を変更し、現在使用されているnginx}lus‘xtras package内でモジュールを動的ロードするよう推奨されており、NGINX Plus R11からはこの方法がnginx}lus内で構築されていないモジュールを用いるための唯一の方法となる。
Rate this Article
- Editor Review
- Chief Editor Action