El WAF F5 NGINX ModSecurity está llegando al final de su vida útil

Durante los últimos cinco años, F5 NGINX se ha complacido en brindar a nuestros clientes el módulo NGINX ModSecurity WAF para NGINX Plus con soporte contra clases estándar de vulnerabilidades utilizando el conjunto de reglas centrales (CRS) de OWASP ModSecurity. Sin embargo, debido a cambios recientes en el soporte de terceros para ModSecurity WAF, lamentamos informarle que estamos realizando la transición de NGINX ModSecurity WAF al fin de su vida útil (EoL) a partir del 31 de marzo de 2024 .

Nuestra decisión se debe en parte al reciente anuncio de Trustwave , la organización que ha estado manteniendo ModSecurity, de que a partir del 1 de julio de 2024 :

• Dejen de dar soporte al código fuente abierto de ModSecurity y al WAF
• Devolver la responsabilidad de mantener el código ModSecurity a la comunidad de código abierto
• Ya no se proporcionan reglas comerciales

Además, si bien el proyecto OWASP ModSecurity Core Rule Set (CRS) planea continuar brindando soporte a ModSecurity, está trasladando su enfoque a un nuevo WAF llamado Coraza , debido a las inquietudes sobre la viabilidad del proyecto ModSecurity dadas las acciones y el anuncio de cambios en el soporte por parte de Trustwave.

NGINX ModSecurity WAF se basa en ModSecurity v3 de código abierto y está respaldado por nuestro soporte y pruebas que garantizan que el módulo NGINX ModSecurity WAF funcione correctamente con NGINX Plus. Sin embargo, no mantenemos el código de ModSecurity en sí y la falta de soporte de Trustwave combinada con una contribución reducida al proyecto de código abierto ModSecurity deja a los clientes de NGINX Plus con un producto que podría no cumplir con sus requisitos de seguridad y estabilidad.

NGINX pasó al final de su venta (EoS) y dejó de vender NGINX ModSecurity WAF el 1 de abril de 2022 . Si es un cliente con una licencia activa, puede renovar su suscripción y recibir soporte completo, incluidas actualizaciones del paquete WAF NGINX ModSecurity, hasta la fecha de fin de vida útil (31 de marzo de 2024) . NGINX planea tener actualizaciones del paquete NGINX ModSecurity hasta el 31 de marzo de 2024 , con el objetivo de brindarles a los clientes tiempo suficiente para migrar a una nueva solución. Su gerente de cuenta se comunicará con usted directamente para analizar sus necesidades futuras de soluciones de seguridad de aplicação . Si desea comunicarse con su gerente de cuenta en cualquier momento, comuníquese con nosotros . A partir del 1 de abril de 2023 , no se aceptarán más renovaciones.

La dedicación al código abierto sigue siendo parte integral del ADN de NGINX

Aunque el producto WAF NGINX ModSecurity está pasando al fin de su vida útil, seguimos comprometidos con nuestra participación y apoyo a la comunidad de código abierto. NGINX valora la colaboración y la innovación de los miembros de la comunidad de código abierto que se dedican a avanzar la tecnología y mejorarla. Creemos que el código abierto fomenta un uso más amplio de la seguridad fundamental y nos beneficia a todos al reducir la superficie de ataque de la infraestructura de aplicaciones globales.

En consonancia con esos valores, NGINX continúa liderando los proyectos NGINX Open Source y NGINX Unit . Nos sentimos muy orgullosos de nuestros esfuerzos en materia de seguridad, aunque también reconocemos que se necesita un equipo más amplio para proteger la estructura tecnológica de la que todos dependemos cada vez más en nuestra vida diaria. Como tal, nos complace apoyar proyectos de OSS que mejoran directamente la seguridad de Internet, incluido el patrocinio de los proyectos OWASP Core Rule Set (CRS), Let's Encrypt y Open SSL .

¿ La transformación digital ha cambiado sus necesidades de seguridad?

Es posible que haya elegido inicialmente NGINX ModSecurity WAF como una versión compatible del ModSecurity WAF de código abierto para proteger sus aplicaciones contra clases generales de vulnerabilidades con OWASP CRS o para cumplir con los requisitos de cumplimiento de PCI DSS en una implementación de WAF estándar. Sin embargo, durante los últimos dos años, la pandemia de COVID-19 ha obligado a las organizaciones a acelerar su transformación digital para mantenerse al ritmo de la demanda, a medida que tanto las empresas como los consumidores han pasado a la compra y el consumo de bienes y servicios en línea.

Dado que los ciberataques contra las aplicações web y las API están en aumento, podría ser el momento adecuado para reevaluar lo que necesita de un WAF e implementar un nivel más completo de protección, confiabilidad y rendimiento necesario para impulsar el crecimiento del negocio. Ofrecemos F5 NGINX App Protect WAF como una solución de seguridad alternativa que puede escalar con su negocio.

NGINX App Protect WAF: seguridad avanzada para sus aplicaciones y API modernas

NGINX App Protect WAF ofrece varias ventajas:

• NGINX App Protect WAF se basa en el motor Advanced WAF de F5, que ha sido probado por miles de clientes empresariales durante decenas de años. Si implementa otros productos de F5, tendrá un único punto de soporte para todo nuestro conjunto de soluciones de seguridad, que incluye correcciones rápidas de errores y actualizaciones de reglas, además de influencia en nuestra hoja de ruta a largo plazo. Además, puede portar fácilmente reglas WAF entre soluciones F5 para lograr una protección consistente en toda su infraestructura .
• Las reglas predeterminadas de ModSecurity están escritas y mantenidas por miembros de la comunidad de código abierto y están diseñadas para cubrir vulnerabilidades generales. Las reglas de NGINX App Protect WAF se basan en la amplia gama de vulnerabilidades e informes de amenazas rastreados por F5 Labs. El resultado es un conjunto de reglas más completo, que ofrece una mayor protección de la seguridad de las aplicação para mantenerse al día con las amenazas cambiantes.
• Las reglas de ModSecurity implican la evaluación de expresiones regulares, por lo que cada control adicional que habilite degrada directamente el rendimiento, lo que obliga a elegir entre un buen rendimiento y una protección integral. Las reglas WAF de NGINX App Protect se precompilan en código de bytes para lograr un alto rendimiento sin importar cuántas reglas habilite.
• NGINX App Protect WAF es independiente de la plataforma, tiene un tamaño reducido y demanda pocos recursos, lo que lo hace ideal para implementaciones en la nube.
• NGINX App Protect WAF satisface las demandas de los equipos de DevOps, con políticas declarativas para “seguridad como código” y fácil integración en su cadena de herramientas CI/CD.
• NGINX App Protect WAF ofrece controles de seguridad consistentes para aplicaciones web, microservicios, contenedores y API.

Descubra por qué el proveedor de neumáticos para automóviles Reifen.com eligió NGINX App Protect WAF en lugar de NGINX ModSecurity WAF cuando necesitó mejorar su rendimiento en línea y cumplir con los estándares de seguridad y cumplimiento internos y externos. Como explica Sascha Petranka, consultor de comercio electrónico de Reifen.com: “Decidimos utilizar NGINX App Protect WAF porque nos ofrecía el mejor rendimiento, la mejor solución a largo plazo y la experiencia combinada de NGINX y F5”.

Habilite su negocio con una seguridad de aplicaciones óptima

NGINX App Protect WAF puede ayudar a su organización a mejorar la seguridad y el rendimiento de sus aplicações y API al tiempo que acerca a los equipos de DevOps y SecOps. Es una solución de seguridad liviana que permite a las empresas protegerse contra ataques que afectan los ingresos, robo de datos, daño a la reputación e incumplimiento normativo. Para probar NGINX App Protect WAF usted mismo, comience una prueba gratuita de 30 días o contáctenos para analizar sus casos de uso.