F5 NGINX ModSecurity WAF est en fin de vie

Au cours des cinq dernières années, F5 NGINX a eu le plaisir de fournir à nos clients le module NGINX ModSecurity WAF pour NGINX Plus avec prise en charge des classes standard de vulnérabilités à l'aide de l'ensemble de règles de base OWASP ModSecurity (CRS). Cependant, en raison de modifications récentes apportées à la prise en charge tierce de ModSecurity WAF, nous regrettons de devoir effectuer la transition de NGINX ModSecurity WAF vers la fin de vie (EoL) à compter du 31 mars 2024 .

Notre décision est due en partie à l' annonce récente de Trustwave , l'organisation qui a assuré la maintenance de ModSecurity, selon laquelle à compter du 1er juillet 2024 , elle :

• Arrêtez de soutenir le code open source ModSecurity et WAF
• Rendre la responsabilité de la maintenance du code ModSecurity à la communauté open source
• Ne plus fournir de règles commerciales

De plus, alors que le projet OWASP ModSecurity Core Rule Set (CRS) prévoit de continuer à prendre en charge ModSecurity, il se concentre désormais sur un nouveau WAF appelé Coraza , en raison de préoccupations concernant la viabilité du projet ModSecurity compte tenu des actions et de l'annonce de changements dans le support par Trustwave.

NGINX ModSecurity WAF est basé sur l'open source ModSecurity v3 et bénéficie de notre support et de nos tests qui garantissent que le module NGINX ModSecurity WAF fonctionne correctement avec NGINX Plus. Cependant, nous ne maintenons pas le code ModSecurity lui-même et le manque de support de Trustwave combiné à une contribution réduite au projet open source ModSecurity laisse les clients de NGINX Plus avec un produit qui pourrait ne pas répondre à leurs exigences de sécurité et de stabilité.

NGINX est passé en fin de vente (EoS) et a cessé de vendre NGINX ModSecurity WAF le 1er avril 2022 . Si vous êtes un client disposant d'une licence active, vous pouvez renouveler votre abonnement et bénéficier d'un support complet, y compris des mises à jour du package NGINX ModSecurity WAF, jusqu'à la date de fin de vie (31 mars 2024) . NGINX prévoit de proposer des mises à jour du package NGINX ModSecurity jusqu'au 31 mars 2024 , dans le but de fournir aux clients suffisamment de temps pour migrer vers une nouvelle solution. Votre gestionnaire de compte vous contactera directement pour discuter de vos besoins futurs en matière de solutions de sécurité des applications. Si vous souhaitez contacter votre gestionnaire de compte à tout moment, veuillez nous contacter . À compter du 1er avril 2023 , aucun renouvellement supplémentaire ne sera accepté.

L'engagement envers l'Open Source reste au cœur de l'ADN de NGINX

Bien que le produit NGINX ModSecurity WAF soit en fin de vie, nous restons engagés dans notre participation et notre soutien à la communauté open source. NGINX valorise la collaboration et l’innovation des membres de la communauté open source qui se consacrent à l’avancement de la technologie et à son amélioration. Nous pensons que l’open source encourage une utilisation plus large des fondamentaux de sécurité et profite à tous en réduisant la surface d’attaque de l’infrastructure applicative mondiale.

Conformément à ces valeurs, NGINX continue de diriger les projets NGINX Open Source et NGINX Unit . Nous sommes très fiers de nos efforts en matière de sécurité tout en reconnaissant qu’il faut une équipe plus large pour sécuriser la structure technologique sur laquelle nous comptons de plus en plus dans notre vie quotidienne. À ce titre, nous sommes heureux de soutenir les projets OSS qui améliorent directement la sécurité d'Internet, notamment le parrainage des projets OWASP Core Rule Set (CRS), Let's Encrypt et Open SSL .

La transformation numérique a-t-elle modifié vos besoins en matière de sécurité ?

Vous avez peut-être initialement choisi NGINX ModSecurity WAF comme version prise en charge du ModSecurity WAF open source pour protéger vos applications contre les classes générales de vulnérabilités avec le CRS OWASP ou pour vous conformer aux exigences de conformité PCI DSS dans une implémentation WAF standard. Cependant, au cours des deux dernières années, la pandémie de COVID-19 a forcé les organisations à accélérer leur transformation numérique pour répondre à la demande, les entreprises et les consommateurs étant passés à l’achat et à la consommation de biens et de services en ligne.

Alors que les cyberattaques contre les applications Web et les API sont en augmentation, il est peut-être temps de réévaluer vos besoins en matière de WAF et de mettre en œuvre un niveau de protection, de fiabilité et de performances plus complet, nécessaire pour stimuler la croissance de votre entreprise. Nous proposons F5 NGINX App Protect WAF comme solution de sécurité alternative qui peut évoluer avec votre entreprise.

NGINX App Protect WAF – Sécurité avancée pour vos applications et API modernes

NGINX App Protect WAF offre plusieurs avantages :

• NGINX App Protect WAF est basé sur le moteur WAF avancé de F5, qui a été testé par des milliers de clients d'entreprise pendant des dizaines d'années. Si vous déployez d’autres produits F5, vous disposez d’un point d’assistance unique pour l’ensemble de notre suite de solutions de sécurité, qui comprend des corrections de bogues rapides et des mises à jour de règles, ainsi qu’une influence sur notre feuille de route à long terme. De plus, vous pouvez facilement transférer les règles WAF entre les solutions F5 pour une protection cohérente sur l'ensemble de votre infrastructure .
• Les règles ModSecurity par défaut sont écrites et maintenues par les membres de la communauté open source et sont conçues pour couvrir les vulnérabilités générales. Les règles WAF de NGINX App Protect sont basées sur le large éventail de vulnérabilités et de rapports de menaces suivis par F5 Labs. Le résultat est un ensemble de règles plus riche, offrant une meilleure protection de la sécurité des applications pour suivre le rythme de l’évolution des menaces.
• Les règles de ModSecurity impliquent l'évaluation des expressions régulières, de sorte que chaque contrôle supplémentaire que vous activez dégrade directement les performances, forçant un choix entre de bonnes performances et une protection complète. Les règles WAF de NGINX App Protect sont précompilées en bytecode pour des performances élevées, quel que soit le nombre de règles que vous activez.
• NGINX App Protect WAF est indépendant de la plate-forme, avec une faible empreinte et de faibles besoins en ressources, ce qui le rend idéal pour les déploiements cloud.
• NGINX App Protect WAF répond aux exigences des équipes DevOps, avec des politiques déclaratives pour la « sécurité en tant que code » et une intégration facile dans votre chaîne d'outils CI/CD.
• NGINX App Protect WAF fournit des contrôles de sécurité cohérents pour les applications Web, les microservices, les conteneurs et les API.

Découvrez pourquoi le fournisseur de pneus automobiles Reifen.com a choisi NGINX App Protect WAF plutôt que NGINX ModSecurity WAF lorsqu'il avait besoin d'améliorer ses performances en ligne et de répondre aux normes de sécurité et de conformité internes et externes. Comme l'explique Sascha Petranka, consultant en commerce électronique chez Reifen.com : « Nous avons décidé d'opter pour NGINX App Protect WAF car il nous offrait les meilleures performances, la meilleure solution à long terme et l'expertise combinée de NGINX et de F5. »

Optimisez la sécurité de vos applications pour votre entreprise

NGINX App Protect WAF peut aider votre organisation à améliorer la sécurité et les performances de ses applications et API tout en rapprochant les équipes DevOps et SecOps. Il s’agit d’une solution de sécurité légère qui permet aux entreprises de se protéger contre les attaques ayant un impact sur les revenus, le vol de données, les atteintes à la réputation et la non-conformité réglementaire. Pour tester vous-même NGINX App Protect WAF, démarrez un essai gratuit de 30 jours ou contactez-nous pour discuter de vos cas d'utilisation.