F5 NGINX ModSecurity WAF wird eingestellt

In den letzten fünf Jahren hat F5 NGINX seinen Kunden gerne das NGINX ModSecurity WAF-Modul für NGINX Plus mit Unterstützung gegen Standardklassen von Schwachstellen unter Verwendung des OWASP ModSecurity Core Rule Set (CRS) bereitgestellt. Aufgrund der jüngsten Änderungen beim Drittanbieter-Support für ModSecurity WAF müssen wir jedoch bedauerlicherweise sagen, dass wir NGINX ModSecurity WAF mit Wirkung zum 31. März 2024 auf das End-of-Life (EoL) umstellen.

Unsere Entscheidung ist teilweise auf die jüngste Ankündigung von Trustwave zurückzuführen, der Organisation, die ModSecurity verwaltet, dass sie ab dem 1. Juli 2024 Folgendes tun wird:

• Beenden Sie die Unterstützung des Open-Source-Codes und WAF von ModSecurity
• Geben Sie die Verantwortung für die Pflege des ModSecurity-Codes an die Open-Source-Community zurück
• Stellen Sie keine kommerziellen Regeln mehr zur Verfügung

Darüber hinaus plant das OWASP ModSecurity Core Rule Set (CRS)-Projekt zwar, seine Unterstützung für ModSecurity fortzusetzen, verlagert seinen Schwerpunkt jedoch auf ein neues WAF namens Coraza , da angesichts der Maßnahmen und Ankündigungen von Supportänderungen durch Trustwave Bedenken hinsichtlich der Realisierbarkeit des ModSecurity-Projekts bestehen.

NGINX ModSecurity WAF basiert auf dem Open Source ModSecurity v3 und wird durch unseren Support und unsere Tests unterstützt, die sicherstellen, dass das NGINX ModSecurity WAF-Modul ordnungsgemäß mit NGINX Plus funktioniert. Wir pflegen den ModSecurity-Code selbst allerdings nicht und aufgrund der fehlenden Unterstützung durch Trustwave und des geringeren Beitrags zum Open-Source-Projekt ModSecurity erhalten NGINX Plus-Kunden ein Produkt, das ihren Anforderungen an Sicherheit und Stabilität möglicherweise nicht gerecht wird.

NGINX ist auf End-of-Sale (EoS) umgestiegen und hat den Verkauf von NGINX ModSecurity WAF am 1. April 2022 eingestellt. Wenn Sie Kunde mit einer aktiven Lizenz sind, können Sie Ihr Abonnement verlängern und bis zum EoL-Datum (31. März 2024) vollen Support erhalten – einschließlich Updates für das NGINX ModSecurity WAF-Paket. NGINX plant, Updates für das NGINX ModSecurity-Paket bis zum 31. März 2024 bereitzustellen, um den Kunden genügend Zeit für die Migration auf eine neue Lösung zu geben. Ihr Account Manager wird sich direkt mit Ihnen in Verbindung setzen, um Ihren zukünftigen Bedarf an Anwendungssicherheitslösungen zu besprechen. Wenn Sie Ihren Kundenbetreuer jederzeit kontaktieren möchten, wenden Sie sich bitte an uns . Ab dem 1. April 2023 werden keine weiteren Verlängerungen mehr angenommen.

Das Engagement für Open Source bleibt ein wesentlicher Bestandteil der DNA von NGINX

Obwohl das Produkt NGINX ModSecurity WAF sein Ende erreicht, bleiben wir unserer Teilnahme an der Open-Source-Community und deren Unterstützung verpflichtet. NGINX schätzt die Zusammenarbeit und Innovation von Mitgliedern der Open-Source-Community, die sich der Weiterentwicklung und Verbesserung der Technologie widmen. Wir sind davon überzeugt, dass Open Source eine breitere Nutzung grundlegender Sicherheit fördert und uns allen zugutekommt, indem die Angriffsfläche der globalen Anwendungsinfrastruktur reduziert wird.

Im Einklang mit diesen Werten leitet NGINX weiterhin die Projekte NGINX Open Source und NGINX Unit . Wir sind sehr stolz auf unsere Sicherheitsbemühungen, sind uns aber gleichzeitig bewusst, dass es eines größeren Teams bedarf, um die Technologiestruktur zu sichern, auf die wir uns in unserem täglichen Leben immer mehr verlassen. Daher unterstützen wir gerne OSS-Projekte, die die Sicherheit des Internets direkt verbessern, darunter die Förderung der Projekte OWASP Core Rule Set (CRS), Let’s Encrypt und Open SSL .

Hat die digitale Transformation Ihre Sicherheitsanforderungen verändert?

Möglicherweise haben Sie sich zunächst für NGINX ModSecurity WAF als unterstützte Version des Open-Source-ModSecurity WAF entschieden, um Ihre Apps mit dem OWASP CRS vor allgemeinen Schwachstellenklassen zu schützen oder um die PCI DSS-Konformitätsanforderungen in einer Standard-WAF-Implementierung zu erfüllen. In den letzten zwei Jahren waren Unternehmen aufgrund der COVID-19-Pandemie jedoch gezwungen, ihre digitale Transformation zu beschleunigen, um mit der Nachfrage Schritt zu halten, da Unternehmen und Verbraucher gleichermaßen auf den Online-Kauf und -Konsum von Waren und Dienstleistungen umgestiegen sind.

Angesichts der zunehmenden Cyberangriffe auf Webanwendungen und APIs könnte es an der Zeit sein, Ihre Anforderungen an eine WAF zu überdenken und ein umfassenderes Maß an Schutz, Zuverlässigkeit und Leistung zu implementieren, das zur Förderung des Geschäftswachstums erforderlich ist. Wir bieten F5 NGINX App Protect WAF als alternative Sicherheitslösung an, die mit Ihrem Unternehmen skalierbar ist.

NGINX App Protect WAF – Erweiterte Sicherheit für Ihre modernen Apps und APIs

NGINX App Protect WAF bietet mehrere Vorteile:

• NGINX App Protect WAF basiert auf der Advanced WAF-Engine von F5, die seit Jahrzehnten von Tausenden Unternehmenskunden praxiserprobt ist. Wenn Sie andere F5-Produkte einsetzen, haben Sie einen einzigen Support-Ansprechpartner für unser gesamtes Paket an Sicherheitslösungen, das schnelle Fehlerbehebungen und Regelaktualisierungen sowie Einfluss auf unseren langfristigen Fahrplan umfasst. Darüber hinaus können Sie WAF-Regeln problemlos zwischen F5-Lösungen portieren, um einen konsistenten Schutz Ihrer gesamten Infrastruktur zu gewährleisten.
• Die standardmäßigen ModSecurity-Regeln werden von Mitgliedern der Open-Source-Community geschrieben und gepflegt und sollen allgemeine Schwachstellen abdecken. Die WAF-Regeln von NGINX App Protect basieren auf der großen Bandbreite an Schwachstellen und Bedrohungsberichten, die von F5 Labs verfolgt werden. Das Ergebnis ist ein umfangreicherer Regelsatz, der einen besseren Anwendungssicherheitsschutz bietet, um mit den sich entwickelnden Bedrohungen Schritt zu halten.
• Da die ModSecurity-Regeln die Auswertung regulärer Ausdrücke beinhalten, verschlechtert jede zusätzlich aktivierte Steuerung die Leistung unmittelbar und zwingt Sie zu einer Entscheidung zwischen guter Leistung und umfassendem Schutz. NGINX App Protect WAF-Regeln werden für hohe Leistung in Bytecode vorkompiliert, unabhängig davon, wie viele Regeln Sie aktivieren.
• NGINX App Protect WAF ist plattformunabhängig, benötigt wenig Platz und Ressourcen und ist somit ideal für Cloud-Bereitstellungen.
• NGINX App Protect WAF erfüllt die Anforderungen von DevOps-Teams mit deklarativen Richtlinien für „Sicherheit als Code“ und einfacher Integration in Ihre CI/CD-Toolkette.
• NGINX App Protect WAF bietet konsistente Sicherheitskontrollen für Web-Apps, Microservices, Container und APIs.

Erfahren Sie, warum sich der Autoreifenhändler Reifen.com für NGINX App Protect WAF statt NGINX ModSecurity WAF entschieden hat, als er seine Online-Leistung verbessern und interne und externe Sicherheits- und Compliance-Standards erfüllen musste. Sascha Petranka, E-Commerce-Berater bei Reifen.com, erklärt: „Wir haben uns für NGINX App Protect WAF entschieden, weil es uns die beste Leistung, die beste Langzeitlösung und das kombinierte Know-how von NGINX und F5 bot.“

Unterstützen Sie Ihr Unternehmen mit optimaler App-Sicherheit

NGINX App Protect WAF kann Ihrem Unternehmen dabei helfen, die Sicherheit und Leistung seiner Anwendungen und APIs zu verbessern und gleichzeitig DevOps- und SecOps-Teams enger zusammenzubringen. Es handelt sich um eine einfache Sicherheitslösung, die Unternehmen vor umsatzschädigenden Angriffen, Datendiebstahl, Reputationsschäden und der Nichteinhaltung gesetzlicher Vorschriften schützt. Um NGINX App Protect WAF selbst zu testen, starten Sie eine kostenlose 30-Tage-Testversion oder kontaktieren Sie uns , um Ihre Anwendungsfälle zu besprechen.