Administrateur Réseau

Examen et alternatives de NGINX WAF

Examen et alternatives de NGINX WAF



Nginxest une marque d’initié. Même s’il n’a pas la renommée de son principal rival, le serveur Web Apache, les analystes du marché estiment que Nginx aurait pu très discrètement devenir le serveur Web le plus implémenté au monde.

Nginx est un système gratuit et open source mais il existe également une société commerciale du même nom qui possède la marque et gère le projet open source. Le nom de l'entreprise est entièrement en majuscule : NGINX, Inc. . NGNIX est capable d'exploiter la popularité de son serveur Web pour gagner de l'argent avec des services supplémentaires, tels qu'une version premium du serveur Web, des contrats de support et des produits associés. Le NGNIX WAF est l’une de ces sources d’argent. On l'appelle Protection des applications NGINX et cela vaut la peine d'enquêter.



Qu'est-ce qu'un pare-feu d'application Web ?

Avant d'examiner NGINX App Protect, il est important de définir exactement à quoi sert un pare-feu d'application Web (WAF).

Un pare-feu d'application Web est un filtre de trafic. Il s'agit d'un service Edge, ce qui signifie que le système se trouve devant un serveur Web et reçoit en premier tout le trafic. Ceux qui connaissent déjà les configurations réseau des serveurs Web penseront probablement déjà que c'est exactement là que se trouve un équilibreur de charge va habituellement; et il existe de nombreuses similitudes entre les actions des équilibreurs de charge et des WAF.



Les équilibreurs de charge reçoivent tout le trafic entrant et le distribuent sur plusieurs lignes sortantes afin qu'un cluster de serveurs puisse traiter une part égale de la demande. Un WAF met essentiellement en mémoire tampon tout le trafic, en envoie une partie tout en supprimant l'autre trafic.

Un équilibreur de charge n'attribue pas seulement chaque paquet successif à une connexion différente. Il doit garantir le maintien d’une conversation. Il doit donc suivre la provenance de chaque paquet et s’assurer que tous les paquets du même flux vont vers le même serveur. Les WAF devraient effectuer une vérification similaire. Si un mauvais paquet arrive, tout le trafic provenant de cette source doit être abandonné. Ainsi, les équilibreurs de charge et les WAF doivent examiner les en-têtes des paquets afin de remplir leurs fonctions.

Un WAF est utile pour absorber les attaques DDoS et d'autres astuces de connexion de pirates. Il empêche les logiciels malveillants d'accéder au serveur Web et absorbe les demandes de connexion intentionnellement mal formées.

Les WAF peuvent facilement combiner leurs tâches avec des services d'équilibrage de charge. En règle générale, un WAF sera fourni sous forme de service cloud ou d'appliance réseau.

À propos de Nginx

Nginx a vu le jour en 2004. Ingénieur logiciel russe, Igor Sysoev a décidé d'écrire sa propre application de serveur Web en 2002 et l'a publiée deux ans plus tard. Il a créé un pool de développeurs pour le logiciel en tant que projet open source, distribuant le système gratuitement. Nginx n'est pas la seule application de serveur Web gratuite et open source – Apache est également gratuit à utiliser et à exécuter en tant que projet open source pour le développement.

Les estimations de la part de marché des serveurs Web varient considérablement. Le Etude de marché Netcraft pour août 2020, la part de marché de Nginx sur tous les sites était de 36 %, avec Apache à 26 % et Google à la troisième place avec une part de 10 %. W3Techs place Apache à 36,5 %, Nginx à 32,5 % et Cloudflare Server à la troisième place avec 15,7 %. Datanyze donne à Apache HTTP Server une part de marché de 49,83 %, Nginx de 26,25 % et Microsoft IIS 12,31 % du marché.

La différence entre toutes les enquêtes sur la part de marché des serveurs Web est de savoir si l'enquêteur compte le nombre d'appareils sur lesquels l'application est installée, le nombre de domaines desservis par chaque application, le nombre de domaines actifs sur lesquels chaque application serveur fonctionne ou le pourcentage. des millions de sites les plus fréquentés qui utilisent chaque produit. Dans l’ensemble, il est vrai de dire que Nginx est l’une des deux applications de serveur Web les plus utilisées au monde aux côtés du serveur HTTP Apache.

La popularité croissante de Nginx réside dans son efficacité du traitement . Il peut gérer quatre fois plus de requêtes par seconde qu'Apache. Cependant, le système Nginx n’est pas très simple à adapter. Alors qu'Apache permet d'ajouter des plugins sans effort, les ajouts à Nginx nécessitent la recompilation de l'intégralité du logiciel d'application. Apache a un meilleur développement sur sa version Windows que Nginx.

Le code de Nginx s'installe sur *nix (BSD Unix, HP-UX, Solaris, AIX, Linux et macOS) ainsi que Windows.

Bien que Nginx soit gratuit, il existe une version payante, appelée NginxPlus . Cela inclut davantage de fonctionnalités, telles que la persistance de session basée sur les cookies, la découverte de services DNS et les contrôles de performances du système.

À propos de NGINX, Inc.

NGINX, Inc a été créé par Sysoev en 2011 pour créer une source de revenus grâce à son invention Nginx. Cette société commercialise le Nginx Plus payant et est également la créatrice du NGINX App Protect WAF. Réseaux F5 acheté NGINX, Inc en 2019.

F5 Networks est une société américaine basée à Seattle, Washington. La société est spécialisée dans les services réseau tels que l'équilibrage de charge et les réseaux de distribution d'applications. Il existe de nombreuses synergies entre F5 Networks et NGINX, Inc. Cependant, F5 Networks apprécie l'importance de la marque NGINX, Inc et n'a pas entièrement absorbé son acquisition. Au lieu de cela, elle commercialise des produits NGINX basés sur les systèmes F5 Networks. Le NGINX App Protect WAF est un exemple de cette stratégie.

Présentation de la protection des applications NGINX

Protection des applications NGINX est très nouveau. Il a été lancé en mai 2020, un peu plus d'un an après le rachat de NGINX, Inc par F5 Networks.

F5 Networks commercialise tous ses services réseau sous le nom GRAND-IP et ceux-ci peuvent être achetés sur des appareils appelés Série BIG-IP i . Au sein de cette famille de produits se trouve un WAF, appelé Application Security Manager (ASM). NGINX App Protect est un réétiquetage de BIG-IP ASM. F5 Networks a également rebaptisé ASM et s'appelle désormais le WAF avancé F5 .

Protection des applications NGINX

Ainsi, F5 propose deux produits basés sur le même logiciel. Le communiqué de presse de NGINX App Protect indiquait que « les contrôles de sécurité de NGINX App Protect sont portés directement à partir de la technologie WAF avancée de F5… »

App Protect canalise également tout le trafic sortant, lui permettant de détecter les événements de perte de données. Il intègre le F5 DataGuard pour cette fonction.

Les principales fonctions de NGINX App Protect sont :

  • Protection contre le Top 10 des risques de sécurité des applications Web de l'OWASP
  • Défense contre les techniques d'évasion courantes
  • Liste noire des adresses IP
  • Application du respect du protocole
  • Protection des API
  • Protection des cookies
  • Prévention des pertes de données (F5 DataGuard)

Le NGINX WAF est capable de protéger les environnements de développement ainsi que les sites Web en direct. Il s'agit d'une qualité importante pour les entreprises qui mettent en œuvre un Développement agile modèle. Vous devez vous assurer que votre environnement de test est aussi proche que possible des conditions réelles auxquelles le code sera confronté une fois publié. La mise en place du WAF pendant ces phases donne un véritable aperçu de la performance des nouvelles fonctionnalités d'un site.

Les systèmes en direct doivent être constamment disponibles pour les véritables visiteurs du site et certains webmasters peuvent craindre que les règles WAF soient trop strictes et bloquent les clients potentiels. Par exemple, la constante reCaptcha vérifie que le Flare nuageuse Le système de protection imposé aux visiteurs innocents peut rebuter de nombreux membres du public et faire perdre l'activité d'un site de commerce électronique.

De nombreux systèmes de cyberdéfense utilisent désormais des techniques d’apprentissage automatique pour établir une base de référence pour les activités normales. Cette base de référence adaptable a grandement contribué à éliminer les rapports de faux positifs et les blocages des utilisateurs authentiques. NGINX WAF ne dispose pas de ces systèmes. Il n’est pas vraiment possible de modéliser le comportement typique d’un utilisateur d’un site. Alors qu'un réseau d'entreprise compte des utilisateurs réguliers, les visiteurs d'un site Web peuvent se connecter une seule fois et les visiteurs atypiques pourraient se révéler de gros acheteurs .

Afin de réduire le risque d'identification erronée de connexions authentiques comme malveillantes, NGINX a affiné ses règles de détection grâce à des tests. Bien qu’il ne s’agisse pas d’une technologie de pointe, elle est aussi proche du raffinement de base que n’importe quel WAF peut espérer offrir, étant donné le comportement aléatoire de l’activité Web légitime.

Utilisation de NGINX App Protect

NGINX App Protect ne dispose pas de son propre tableau de bord. Le service est un plugin pour Nginx Plus et doit être compilé avec le serveur d'applications Web. La plupart des options de configuration d'App Protect doivent être implémentées sur la ligne de commande sans aucun écran d'interface graphique. Cela rend App Protect difficile à gérer pour les propriétaires de petites entreprises qui tentent de gérer eux-mêmes leurs services Web. App Protect s'adresse aux spécialistes des réseaux et aux professionnels du Web qui sont à l'aise avec l'émission de commandes à l'invite du système d'exploitation.

Options de configuration du WAF NGINX

NGINX App Protect est une implémentation de WAF avancé F5 . Le code du système de sécurité doit être compilé avec le code du serveur d'applications Web Nginx Plus. Le NGINX WAF ne peut pas être utilisé avec des serveurs Web fournis par d'autres fournisseurs ; ainsi, par exemple, il ne peut pas être déployé sur des systèmes qui utilisent le serveur HTTP Apache.

Le progiciel pour NGINX WAF doit être hébergé – NGINX ne propose pas de version SaaS de l'outil. Le serveur qui exécute l’ensemble combiné Nginx Plus et NGINX App Protect doit disposer d’un système d’exploitation Linux – en particulier, CentOS , Debian , et RHEL .

Les utilisateurs qui souhaitent placer leur WAF en dehors de leur réseau domestique peuvent héberger le WAF NGINX sur un serveur cloud, notamment AWS , Plateforme Google Cloud , et Microsoft Azure mises en œuvre. L’implémentation de NGINX App Protect hébergée à distance devra toujours être accompagnée d’une instance de Nginx Plus installée.

Bien que NGINX ne propose pas App Protect en tant que service cloud, F5 le fait. Ceux qui souhaitent une version SaaS de ce pare-feu d'application Web doivent rechercher le Protection des applications essentielles F5 service. Ce système peut faire face à n'importe quel serveur Web, vous n'avez donc pas besoin d'exécuter vos sites Web sur Nginx Plus.

NGINX propose un 30 jours d'essai gratuit du pack de protection Nginx Plus et NGINX App.

Alternatives à NGINX App Protect

La majorité des concurrents de NGINX App Protect sont livrés sous forme services cloud ou font partie de un appareil réseau . Les entreprises qui gèrent déjà leurs sites Web sur Nginx ou Nginx Plus ne devraient pas avoir beaucoup de difficultés à mettre à niveau leur logiciel vers la combinaison Nginx Plus et NGINX App Protect.

Si vous utilisez un autre serveur d'applications Web et que vous ne souhaitez pas passer à un autre système ou si vous préférez que votre WAF soit un service distinct du serveur Web, il existe de nombreuses autres options.

Vous pouvez en savoir plus sur les WAF et les options disponibles pour les propriétaires de sites Web dans le Guide d'achat des meilleurs WAF . Si vous ne souhaitez pas lire un autre article afin d'obtenir des recommandations pour un WAF, vous pouvez simplement vous fier à la liste que nous donnons ci-dessous.

Voici notre liste des dix meilleures alternatives au NGINX :

  1. Protection des applications essentielles F5 – Comme expliqué ci-dessus, ce service est la version SaaS du NGINX WAF, il n'existe donc pas d'alternative plus proche à NGINX App Protect sur le marché.
  2. Plateforme BIG-IP iSeries – Obtenez le pare-feu F5 Advanced Web Application préchargé sur une appliance réseau. Des appliances de différentes capacités sont disponibles et cela vous donne exactement le même logiciel que Nginx App Protect.
  3. Pare-feu d'applications Web gérées AppTrana Service WAF géré d'Indusface. Ce package comprend un scanner d'applications, un CDN et des règles de sécurité personnalisées gérées avec une assurance faux positif Zero WAF soutenue par un SLA et une prise en charge 24h/24 et 7j/7.
  4. Pare-feu d'application Web StackPath Un pare-feu basé sur le cloud qui fait partie d'une solution « Edge » qui regroupe également un serveur DNS, un CDN et un moniteur de performances.
  5. Jus de pare-feu de site Web Un ensemble SaaS qui surveille, protège et accélère les sites Web avec des forfaits supérieurs, notamment l'équilibrage de charge et un SIEM cloud.
  6. Pare-feu d'applications Web MS Azure Un service WAF mesuré basé sur le cloud qui peut protéger les sites Web hébergés partout dans le monde.
  7. Imperva SecureSphère Un dispositif matériel de pare-feu destiné aux petites entreprises et facilement évolutif pour celles qui atteignent des volumes de trafic plus élevés.
  8. Pare-feu d'applications Web Barracuda Cette solution matérielle offre une protection DDoS, une mise en cache et une optimisation de la livraison, ainsi qu'un filtrage des demandes et des mises à jour constantes des règles de sécurité.
  9. Pare-feu d’applications Citrix Netscaler Disponible sous forme d'appliance ou de service cloud, ce WAF comprend également un équilibreur de charge.
  10. Fortinet FortiWeb Une appliance qui agit comme un pare-feu d'application Web, un déchargeur SSL et un équilibreur de charge.
^