NGINX Full Version

F5 NGINX ModSecurity WAF 即将转入生命周期终止阶段

F5 NGINX 很高兴在过去的五年里,为广大客户提供 NGINX ModSecurity WAF 模块来支持 NGINX Plus,该模块借助 OWASP ModSecurity 核心规则集 (CRS) 来防范常见漏洞。但很遗憾的是,由于最近 ModSecurity WAF 的第三方支持发生变动,NGINX ModSecurity WAF 不得不到 2024 年 3 月 31 日结束生命周期。

我们之所以做出此决策,在一定程度上是因为负责 Modsecurity 维护工作的 Trustwave 最近宣布,截至 2024 年 7 月 1 日,该组织将:

此外,虽然 OWASP ModSecurity 核心规则集 (CRS) 项目计划继续为 ModSecurity 提供支持,但它正在将关注重点转向一款名为 Coraza 的新 WAF,出于对 ModSecurity 项目生存力的担忧,Trustwave 决定并宣布不再支持该项目。

NGINX ModSecurity WAF 基于开源 ModSecurity v3,由我们提供技术支持和测试服务,能够与 NGINX Plus 高效协同运行。但是,我们不对 ModSecurity 代码本身进行维护,因此如果 Trustwave 不再提供支持,或者社区对开源 ModSecurity 项目的贡献减少,该项目将无法满足 NGINX Plus 客户的安全性和稳定性要求。

NGINX 已于 2022 年 4 月 1 日转入停售 (EoS) 阶段并停止销售 NGINX ModSecurity WAF。在生命周期终止日期(2024 年 3 月 31 日)之前,持有效许可证的客户仍可续订并获得全面支持,包括更新到 NGINX ModSecurity WAF 软件包。NGINX 计划在 2024 年 3 月 31 日之前一直提供 NGINX ModSecurity 软件包更新,以便为客户迁移到新的解决方案提供充足的时间。您的客户经理将直接与您联系,探讨您未来的应用安全解决方案需求。无论何时需要联系您的客户经理,请随时与我们联系。自 2023 年 4 月 1 日起,不再接受续订。

 

开源承诺已融入到 NGINX 的血液中

虽然 NGINX ModSecurity WAF 产品即将转入生命周期结束阶段,但我们坚持投身和支持开源社区的承诺保持不变。开源社区成员致力于推进和改进技术,NGINX 高度重视他们的协作和创新。我们相信开源可以推动核心基础安全功能的普及,并通过缩小全球应用基础架构的攻击面,造福我们每一个人。

NGINX 始终秉承这一价值观,不断引领 NGINX 开源版NGINX Unit 项目的发展。随着技术日益渗透到我们的日常生活中,技术安全成为一项重要课题。我们在为自己的安全成果感到骄傲的同时,也认识到技术安全防护需要广泛的团队合作。因此,我们很高兴支持可直接增强互联网安全性的 OSS 项目,包括赞助 OWASP 核心规则集(CRS)、Let’s Encrypt 和 Open SSL 项目。

 

数字化转型是否改变了您的安全需求?

您最初选择使用 NGINX ModSecurity WAF 作为受支持的开源 ModSecurity WAF 版本,可能是为了保护应用免受 OWASP CRS 的常见漏洞或确保在标准 WAF 实施中遵守 PCI DSS 合规性要求。然而,在过去两年中,受疫情影响,企业和消费者不断转向在线购买和消费商品与服务,这迫使组织加快数字化转型,以跟上需求。

随着针对 Web 应用和 API 的网络攻击不断增加,现在可能是重新评估 WAF 需求并实施更全面的保护、可靠性和性能以推动业务增长的最佳时机。我们推荐采用可随业务增长而扩展的 F5 NGINX App Protect WAF 作为替代安全解决方案。

 

NGINX App Protect WAF——面向现代应用和 API 的高级安全解决方案

NGINX App Protect WAF 具备以下几个优势:

了解为何汽车轮胎制造商 Reifen.com 选择使用 NGINX App Protect WAF 而非 NGINX ModSecurity WAF 来改善在线性能并满足内外部安全与合规标准。

Reifen.com 电子商务顾问 Sascha Petranka 表示:“App Protect 凝聚了 NGINX 与 F5 的精深专业知识,能够为我们提供卓越的性能和出色的长期解决方案,所以我们最终选择使用 NGINX App Protect WAF。

 

为企业提供极致的应用安全防护

NGINX App Protect WAF 可帮助贵组织提高应用和 API 的安全性和性能,同时加强 DevOps 和 SecOps 团队之间的联系。这是一款轻量级安全解决方案,可保护企业免遭影响收入的攻击、数据盗窃和声誉损害,并规避违规行为。如欲试用 NGINX App Protect WAF,请立即下载 30 天免费试用版,或联系我们讨论您的用例