F5 NGINX ModSecurity WAF está em transição para o fim de sua vida útil

Nos últimos cinco anos, a F5 NGINX tem o prazer de fornecer aos nossos clientes o módulo NGINX ModSecurity WAF para NGINX Plus com suporte contra classes padrão de vulnerabilidades usando o OWASP ModSecurity Core Rule Set (CRS). No entanto, devido a mudanças recentes no suporte de terceiros para o ModSecurity WAF, lamentamos estar transferindo o NGINX ModSecurity WAF para o fim da vida útil (EoL) a partir de 31 de março de 2024 .

Nossa decisão se deve em parte ao anúncio recente da Trustwave , a organização que mantém o ModSecurity, de que a partir de 1º de julho de 2024 , ele irá:

• Pare de dar suporte ao código-fonte aberto e WAF do ModSecurity
• Devolver a responsabilidade pela manutenção do código ModSecurity à comunidade de código aberto
• Não fornecer mais regras comerciais

Além disso, embora o projeto OWASP ModSecurity Core Rule Set (CRS) planeje continuar seu suporte ao ModSecurity, ele está transferindo seu foco para um novo WAF chamado Coraza , tendo preocupações sobre a viabilidade do projeto ModSecurity, dadas as ações e o anúncio de mudanças no suporte da Trustwave.

O NGINX ModSecurity WAF é baseado no ModSecurity v3 de código aberto e conta com nosso suporte e testes que garantem que o módulo NGINX ModSecurity WAF funcione corretamente com o NGINX Plus. No entanto, não mantemos o código ModSecurity em si e a falta de suporte da Trustwave combinada com a contribuição reduzida para o projeto ModSecurity de código aberto deixa os clientes do NGINX Plus com um produto que pode não atender aos seus requisitos de segurança e estabilidade.

O NGINX migrou para o fim de venda (EoS) e parou de vender o NGINX ModSecurity WAF em 1º de abril de 2022 . Se você for um cliente com uma licença ativa, poderá renovar sua assinatura e receber suporte completo – incluindo atualizações para o pacote NGINX ModSecurity WAF – até a data de fim de vida útil (31 de março de 2024) . A NGINX planeja ter atualizações do pacote NGINX ModSecurity até 31 de março de 2024 , com o objetivo de dar aos clientes tempo suficiente para migrarem para uma nova solução. Seu gerente de conta entrará em contato com você diretamente para discutir suas necessidades futuras de soluções de segurança de aplicativos. Se você quiser entrar em contato com seu gerente de conta a qualquer momento, entre em contato conosco . A partir de 1º de abril de 2023 , nenhuma outra renovação será aceita.

A dedicação ao código aberto continua sendo parte integrante do DNA do NGINX

Embora o produto NGINX ModSecurity WAF esteja chegando ao fim da vida útil, continuamos comprometidos com nossa participação e suporte à comunidade de código aberto. A NGINX valoriza a colaboração e a inovação dos membros da comunidade de código aberto que se dedicam a desenvolver a tecnologia e torná-la melhor. Acreditamos que o código aberto incentiva o uso mais amplo da segurança fundamental e beneficia a todos nós ao reduzir a superfície de ataque da infraestrutura global de aplicativos.

Em linha com esses valores, a NGINX continua liderando os projetos NGINX Open Source e NGINX Unit . Temos muito orgulho de nossos esforços de segurança e também reconhecemos que é necessária uma equipe mais ampla para proteger a estrutura tecnológica da qual todos dependemos cada vez mais em nossas vidas diárias. Por isso, temos o prazer de apoiar projetos OSS que melhoram diretamente a segurança da Internet, incluindo o patrocínio dos projetos OWASP Core Rule Set (CRS), Let's Encrypt e Open SSL .

A transformação digital mudou suas necessidades de segurança?

Você pode ter escolhido inicialmente o NGINX ModSecurity WAF como uma versão compatível do ModSecurity WAF de código aberto para proteger seus aplicativos contra classes gerais de vulnerabilidades com o OWASP CRS ou para cumprir com os requisitos de conformidade do PCI DSS em uma implementação WAF padrão. Nos últimos dois anos, no entanto, a pandemia da COVID-19 forçou as organizações a acelerar sua transformação digital para acompanhar a demanda, à medida que empresas e consumidores migravam para compras e consumo on-line de bens e serviços.

Com o aumento dos ataques cibernéticos contra aplicativos da web e APIs, pode ser o momento certo para reavaliar o que você precisa de um WAF e implementar um nível mais abrangente de proteção, confiabilidade e desempenho necessários para impulsionar o crescimento dos negócios. Oferecemos o F5 NGINX App Protect WAF como uma solução de segurança alternativa que pode acompanhar o seu negócio.

NGINX App Protect WAF – Segurança avançada para seus aplicativos e APIs modernos

O NGINX App Protect WAF oferece diversas vantagens:

• O NGINX App Protect WAF é baseado no mecanismo Advanced WAF da F5, que foi testado em batalha por milhares de clientes empresariais por dezenas de anos. Se você implantar outros produtos F5, terá um único ponto de suporte para todo o nosso conjunto de soluções de segurança, que inclui correções rápidas de bugs e atualizações de regras, além de influência em nosso roteiro de longo prazo. Além disso, você pode facilmente portar regras WAF entre soluções F5 para proteção consistente em toda a sua infraestrutura .
• As regras padrão do ModSecurity são escritas e mantidas por membros da comunidade de código aberto e são projetadas para cobrir vulnerabilidades gerais. As regras do NGINX App Protect WAF são baseadas na ampla gama de vulnerabilidades e relatórios de ameaças rastreados pelo F5 Labs. O resultado é um conjunto mais rico de regras, proporcionando maior proteção de segurança de aplicativos para acompanhar a evolução das ameaças.
• As regras do ModSecurity envolvem a avaliação de expressões regulares, portanto, cada controle adicional que você habilita degrada diretamente o desempenho, forçando uma escolha entre bom desempenho e proteção abrangente. As regras do NGINX App Protect WAF são pré-compiladas em bytecode para alto desempenho, não importa quantas regras você habilite.
• O NGINX App Protect WAF é independente de plataforma, com um tamanho pequeno e baixas demandas de recursos, o que o torna ideal para implantações em nuvem.
• O NGINX App Protect WAF atende às demandas das equipes de DevOps, com políticas declarativas para “segurança como código” e fácil integração à sua cadeia de ferramentas de CI/CD.
• O NGINX App Protect WAF oferece controles de segurança consistentes para aplicativos da web, microsserviços, contêineres e APIs.

Saiba por que o fornecedor de pneus para automóveis Reifen.com escolheu o NGINX App Protect WAF em vez do NGINX ModSecurity WAF quando precisava melhorar seu desempenho online e atender aos padrões internos e externos de segurança e conformidade. Como explica o consultor de comércio eletrônico da Reifen.com, Sascha Petranka, “Decidimos usar o NGINX App Protect WAF porque ele nos deu o melhor desempenho, a melhor solução de longo prazo e a experiência combinada do NGINX e do F5”.

Habilite sua empresa com segurança de aplicativo ideal

O NGINX App Protect WAF pode ajudar sua organização a melhorar a segurança e o desempenho de seus aplicativos e APIs, ao mesmo tempo em que aproxima as equipes de DevOps e SecOps. É uma solução de segurança leve que permite que as empresas se protejam contra ataques que afetam a receita, roubo de dados, danos à reputação e não conformidade regulatória. Para testar o NGINX App Protect WAF, inicie um teste gratuito de 30 dias ou entre em contato conosco para discutir seus casos de uso.