F5 NGINX ModSecurity WAF est en fin de vie

Au cours des cinq dernières années, F5 NGINX a eu le plaisir de fournir à nos clients le module NGINX ModSecurity WAF pour NGINX Plus avec prise en charge des classes standard de vulnérabilités à l'aide de l'ensemble de règles de base OWASP ModSecurity (CRS). Cependant, en raison de modifications récentes apportées à la prise en charge tierce de ModSecurity WAF, nous regrettons de devoir effectuer la transition de NGINX ModSecurity WAF vers la fin de vie (EoL) à compter du 31 mars 2024 .

Notre décision est due en partie à l' annonce récente de Trustwave , l'organisation qui a assuré la maintenance de ModSecurity, selon laquelle à compter du 1er juillet 2024 , elle :

• Mettez fin au support du code source libre ModSecurity et du WAF
• Confiez à nouveau à la communauté open source la responsabilité de maintenir le code ModSecurity
• Ne plus fournir de règles commerciales

De plus, alors que le projet OWASP ModSecurity Core Rule Set (CRS) prévoit de continuer à prendre en charge ModSecurity, il se concentre désormais sur un nouveau WAF appelé Coraza , en raison de préoccupations concernant la viabilité du projet ModSecurity compte tenu des actions et de l'annonce de changements dans le support par Trustwave.

NGINX ModSecurity WAF repose sur le logiciel libre ModSecurity v3 et bénéficie de notre support et de nos tests qui garantissent que le module NGINX ModSecurity WAF fonctionne parfaitement avec NGINX Plus. Nous ne maintenons pas le code ModSecurity lui-même. Le manque de support de Trustwave, associé à une contribution réduite au projet ModSecurity open source, expose les clients de NGINX Plus à un produit qui pourrait ne pas satisfaire leurs exigences de sécurité et de stabilité.

NGINX est passé en fin de vente (EoS) et a cessé de vendre NGINX ModSecurity WAF le 1er avril 2022 . Si vous êtes un client disposant d'une licence active, vous pouvez renouveler votre abonnement et bénéficier d'un support complet, y compris des mises à jour du package NGINX ModSecurity WAF, jusqu'à la date de fin de vie (31 mars 2024) . NGINX prévoit de proposer des mises à jour du package NGINX ModSecurity jusqu'au 31 mars 2024 , dans le but de fournir aux clients suffisamment de temps pour migrer vers une nouvelle solution. Votre gestionnaire de compte vous contactera directement pour discuter de vos besoins futurs en matière de solutions de sécurité des applications. Si vous souhaitez contacter votre gestionnaire de compte à tout moment, veuillez nous contacter . À compter du 1er avril 2023 , aucun renouvellement supplémentaire ne sera accepté.

L'engagement envers l'Open Source reste au cœur de l'ADN de NGINX

Même si le produit NGINX ModSecurity WAF arrive en fin de vie, nous restons pleinement engagés à participer et à soutenir la communauté open source. NGINX valorise la collaboration et l’innovation des membres de la communauté open source, engagés à faire progresser la technologie et à l’améliorer constamment. Nous sommes convaincus que l’open source favorise une adoption plus large des bases essentielles de la sécurité et nous protège tous en réduisant la surface d’attaque de l’infrastructure applicative mondiale.

Conformément à ces valeurs, NGINX continue de diriger les projets NGINX Open Source et NGINX Unit . Nous sommes très fiers de nos efforts en matière de sécurité tout en reconnaissant qu’il faut une équipe plus large pour sécuriser la structure technologique sur laquelle nous comptons de plus en plus dans notre vie quotidienne. À ce titre, nous sommes heureux de soutenir les projets OSS qui améliorent directement la sécurité d'Internet, notamment le parrainage des projets OWASP Core Rule Set (CRS), Let's Encrypt et Open SSL .

La transformation numérique a-t-elle modifié vos besoins en matière de sécurité ?

Vous avez peut-être choisi initialement NGINX ModSecurity WAF, une version prise en charge du WAF open source ModSecurity, pour protéger vos applications contre les vulnérabilités courantes avec le CRS OWASP ou pour assurer la conformité aux exigences PCI DSS dans une implémentation WAF classique. Ces deux dernières années, la pandémie de COVID-19 a cependant poussé les organisations à accélérer leur transformation numérique pour suivre la demande, les entreprises comme les consommateurs se tournant massivement vers l’achat et la consommation en ligne de biens et de services.

Alors que les cyberattaques contre les applications Web et les API sont en augmentation, il est peut-être temps de réévaluer vos besoins en matière de WAF et de mettre en œuvre un niveau de protection, de fiabilité et de performances plus complet, nécessaire pour stimuler la croissance de votre entreprise. Nous proposons F5 NGINX App Protect WAF comme solution de sécurité alternative qui peut évoluer avec votre entreprise.

NGINX App Protect WAF – Sécurité avancée pour vos applications et API modernes

NGINX App Protect WAF offre plusieurs avantages :

• NGINX App Protect WAF est basé sur le moteur WAF avancé de F5, qui a été testé par des milliers de clients d'entreprise pendant des dizaines d'années. Si vous déployez d’autres produits F5, vous disposez d’un point d’assistance unique pour l’ensemble de notre suite de solutions de sécurité, qui comprend des corrections de bogues rapides et des mises à jour de règles, ainsi qu’une influence sur notre feuille de route à long terme. De plus, vous pouvez facilement transférer les règles WAF entre les solutions F5 pour une protection cohérente sur l'ensemble de votre infrastructure .
• Les membres de la communauté open source rédigent et maintiennent les règles ModSecurity par défaut, qui ciblent les vulnérabilités courantes. Les règles WAF de NGINX App Protect s’appuient sur l’étendue des vulnérabilités et des rapports de menaces suivis par F5 Labs. Cela se traduit par un ensemble de règles plus complet, offrant une protection renforcée pour faire face à l’évolution des menaces.
• Les règles de ModSecurity impliquent l'évaluation des expressions régulières, de sorte que chaque contrôle supplémentaire que vous activez dégrade directement les performances, forçant un choix entre de bonnes performances et une protection complète. Les règles WAF de NGINX App Protect sont précompilées en bytecode pour des performances élevées, quel que soit le nombre de règles que vous activez.
• NGINX App Protect WAF fonctionne sur toutes les plateformes, avec une empreinte réduite et une faible consommation de ressources, ce qui le rend parfaitement adapté aux déploiements dans le cloud.
• NGINX App Protect WAF répond aux exigences des équipes DevOps, avec des politiques déclaratives pour la « sécurité en tant que code » et une intégration facile dans votre chaîne d'outils CI/CD.
• NGINX App Protect WAF fournit des contrôles de sécurité cohérents pour les applications Web, les microservices, les conteneurs et les API.

Découvrez pourquoi le fournisseur de pneus automobiles Reifen.com a choisi NGINX App Protect WAF plutôt que NGINX ModSecurity WAF lorsqu'il avait besoin d'améliorer ses performances en ligne et de répondre aux normes de sécurité et de conformité internes et externes. Comme l'explique Sascha Petranka, consultant en commerce électronique chez Reifen.com : « Nous avons décidé d'opter pour NGINX App Protect WAF car il nous offrait les meilleures performances, la meilleure solution à long terme et l'expertise combinée de NGINX et de F5. »

Optimisez la sécurité de vos applications pour votre entreprise

NGINX App Protect WAF peut aider votre organisation à améliorer la sécurité et les performances de ses applications et API tout en rapprochant les équipes DevOps et SecOps. Il s’agit d’une solution de sécurité légère qui permet aux entreprises de se protéger contre les attaques ayant un impact sur les revenus, le vol de données, les atteintes à la réputation et la non-conformité réglementaire. Pour tester vous-même NGINX App Protect WAF, démarrez un essai gratuit de 30 jours ou contactez-nous pour discuter de vos cas d'utilisation.