F5 NGINX ModSecurity WAF가 수명 종료로 전환 중입니다.

지난 5년 동안 F5 NGINX는 OWASP ModSecurity Core Rule Set(CRS)을 사용하여 표준 수준의 취약점을 지원하는 NGINX Plus용 NGINX ModSecurity WAF 모듈을 고객에게 제공하게 되어 기쁘게 생각합니다. 하지만 ModSecurity WAF에 대한 타사 지원의 최근 변경으로 인해 NGINX ModSecurity WAF를 2024년 3월 31일 부터 EoL( End-of-Life )로 전환하게 되어 유감입니다.

우리의 결정은 ModSecurity를 유지 관리해 온 조직인 Trustwave의 최근 발표 에 따른 것입니다. Trustwave는 2024년 7월 1일 부터 다음과 같이 할 예정입니다.

• ModSecurity 오픈 소스 코드 및 WAF 지원 중단
• ModSecurity 코드 유지 관리에 대한 책임을 오픈 소스 커뮤니티에 반환
• 더 이상 상업 규칙을 제공하지 않습니다

또한 OWASP ModSecurity Core Rule Set(CRS) 프로젝트는 ModSecurity에 대한 지원을 계속할 계획이지만 Trustwave의 지원 변경에 대한 조치 및 발표를 감안할 때 ModSecurity 프로젝트의 실행 가능성에 대한 우려를 품고 Coraza라는 새로운 WAF 에 초점을 전환하고 있습니다.

NGINX ModSecurity WAF는 오픈 소스 ModSecurity v3를 기반으로 하며 NGINX ModSecurity WAF 모듈이 NGINX Plus와 올바르게 작동하도록 보장하는 지원 및 테스트를 거쳤습니다. 그러나 우리는 ModSecurity 코드 자체를 유지 관리하지 않으며 Trustwave의 지원 부족과 오픈 소스 ModSecurity 프로젝트에 대한 기여 감소가 결합되어 NGINX Plus 고객은 보안 및 안정성에 대한 요구 사항을 충족하지 못할 수 있는 제품을 제공받게 됩니다.

NGINX는 2022년 4월 1일 에 EoS( End-of-Sale )로 전환되었으며 NGINX ModSecurity WAF 판매가 중단되었습니다. 활성 라이선스가 있는 고객인 경우 구독을 갱신하고 EoL 날짜 (2024년 3월 31일) 까지 NGINX ModSecurity WAF 패키지 업데이트를 포함한 전체 지원을 받을 수 있습니다. NGINX는 고객이 새로운 솔루션으로 마이그레이션할 수 있는 충분한 시간을 제공하기 위해 2024년 3월 31일 까지 NGINX ModSecurity 패키지 업데이트를 제공할 계획입니다. 귀하의 계정 관리자가 귀하에게 직접 연락하여 향후 귀하의 애플리케이션 보안 솔루션 요구 사항을 논의할 것입니다. 언제든지 귀사의 계정 관리자에게 연락하고 싶으시면 저희에게 연락해 주세요 . 2023년 4월 1일 부터는 더 이상 갱신이 허용되지 않습니다.

오픈 소스에 대한 헌신은 NGINX DNA의 필수 요소로 남아 있습니다.

NGINX ModSecurity WAF 제품은 EoL로 전환되지만, 우리는 오픈 소스 커뮤니티에 대한 참여와 지원에 계속해서 전념하고 있습니다. NGINX는 기술을 발전시키고 더 나은 기술로 만들기 위해 헌신하는 오픈 소스 커뮤니티 구성원의 협업과 혁신을 소중하게 여깁니다. 우리는 오픈 소스가 핵심 기반 보안의 광범위한 사용을 촉진하고 글로벌 애플리케이션 인프라의 공격 표면을 줄임으로써 우리 모두에게 이익이 된다고 믿습니다.

이러한 가치에 따라 NGINX는 NGINX 오픈 소스 및 NGINX 단위 프로젝트를 계속 주도하고 있습니다. 우리는 보안 노력에 큰 자부심을 갖고 있지만, 일상생활에서 점점 더 의존하고 있는 기술 기반을 보호하려면 더 광범위한 팀이 필요하다는 것을 알고 있습니다. 따라서 우리는 OWASP Core Rule Set (CRS), Let's Encrypt, Open SSL 프로젝트 후원을 포함하여 인터넷 보안을 직접적으로 강화하는 OSS 프로젝트를 지원하게 되어 기쁘게 생각합니다.

디지털 혁신으로 인해 보안 요구 사항이 바뀌었나요?

처음에는 OWASP CRS를 사용하여 일반적인 취약성으로부터 앱을 보호하거나 표준 WAF 구현에서 PCI DSS 규정 준수 요구 사항을 준수하기 위해 오픈 소스 ModSecurity WAF의 지원 버전으로 NGINX ModSecurity WAF를 선택했을 수 있습니다. 그러나 지난 2년 동안 COVID-19 팬데믹으로 인해 기업과 소비자 모두 상품과 서비스의 온라인 구매 및 소비로 전환함에 따라 기업은 수요에 맞춰 디지털 전환을 가속화해야 했습니다.

웹 애플리케이션과 API에 대한 사이버 공격이 증가함에 따라 WAF에 필요한 것이 무엇인지 재평가하고 비즈니스 성장을 촉진하는 데 필요한 보다 포괄적인 수준의 보호, 안정성 및 성능을 구현해야 할 적절한 시기일 수 있습니다. 우리는 귀하의 비즈니스에 맞춰 확장 가능한 대체 보안 솔루션으로 F5 NGINX App Protect WAF를 제공합니다.

NGINX App Protect WAF – 최신 앱 및 API를 위한 고급 보안

NGINX App Protect WAF는 여러 가지 장점을 제공합니다.

• NGINX App Protect WAF는 수십 년 동안 수천 개의 기업 고객에 의해 실전 테스트를 거친 F5의 고급 WAF 엔진을 기반으로 합니다. 다른 F5 제품을 배포하는 경우 신속한 버그 수정 및 규칙 업데이트, 장기 로드맵에 대한 영향 등 보안 솔루션 전체에 대한 단일 지원 지점을 확보할 수 있습니다. 또한, F5 솔루션 간에 WAF 규칙을 쉽게 이식하여 전체 인프라에서 일관된 보호를 제공할 수 있습니다.
• 기본 ModSecurity 규칙은 오픈 소스 커뮤니티 구성원이 작성하고 유지 관리하며 일반적인 취약점을 처리하도록 설계되었습니다. NGINX App Protect WAF 규칙은 F5 Labs에서 추적한 광범위한 취약점과 위협 보고서를 기반으로 합니다. 그 결과, 더욱 풍부한 규칙 세트가 만들어져 진화하는 위협에 대응할 수 있도록 더욱 강화된 애플리케이션 보안 보호 기능을 제공합니다.
• ModSecurity 규칙에는 정규 표현식 평가가 포함되므로 추가로 제어를 활성화하면 성능이 직접적으로 저하됩니다. 즉, 우수한 성능과 포괄적인 보호 중 하나를 선택해야 합니다. NGINX App Protect WAF 규칙은 활성화하는 규칙 수에 관계없이 높은 성능을 위해 바이트코드로 미리 컴파일됩니다.
• NGINX App Protect WAF는 플랫폼에 구애받지 않고 설치 공간이 작고 리소스 요구 사항이 낮아 클라우드 배포에 이상적입니다.
• NGINX App Protect WAF는 "코드로서의 보안"에 대한 선언적 정책과 CI/CD 툴 체인에 대한 쉬운 통합을 통해 DevOps 팀의 요구 사항을 충족합니다.
• NGINX App Protect WAF는 웹 앱, 마이크로서비스, 컨테이너 및 API에 대한 일관된 보안 제어 기능을 제공합니다.

자동차 타이어 판매업체 Reifen.com 이 온라인 성능을 개선하고 내부 및 외부 보안 및 규정 준수 표준을 충족해야 할 때 NGINX ModSecurity WAF 대신 NGINX App Protect WAF를 선택한 이유에 대해 알아보세요. Reifen.com의 전자상거래 컨설턴트인 Sascha Petranka는 "NGINX App Protect WAF를 선택하기로 한 이유는 최고의 성능, 최고의 장기적 솔루션, NGINX와 F5의 결합된 전문성을 제공하기 때문"이라고 설명합니다.

최적의 앱 보안으로 비즈니스를 활성화하세요

NGINX App Protect WAF는 조직이 애플리케이션과 API의 보안과 성능을 개선하는 동시에 DevOps팀과 SecOps팀을 더욱 긴밀하게 연결하는 데 도움이 될 수 있습니다. 이는 기업을 수익에 영향을 미치는 공격, 데이터 도난, 평판 손상, 규정 위반으로부터 보호할 수 있는 가벼운 보안 솔루션입니다. NGINX App Protect WAF를 직접 테스트해 보려면 무료 30일 체험판을 시작하거나, 당사에 문의하여 사용 사례에 대해 논의하세요.