O NGINX e o NGINX Plus oferecem uma série de recursos que permitem lidar com a maioria dos requisitos de SSL/TLS. Eles usam OpenSSL e o poder dos chips de processador padrão para fornecer desempenho SSL/TLS econômico. À medida que o poder dos chips de processador padrão continua a aumentar e os fornecedores de chips adicionam suporte à aceleração criptográfica, a vantagem de custo do uso de chips de processador padrão em vez de chips SSL/TLS especializados também continua a aumentar.
Há três casos de uso principais para NGINX e NGINX Plus com SSL/TLS.
Quando o NGINX é usado como proxy, ele pode descarregar o processamento de descriptografia SSL dos servidores de backend. Há uma série de vantagens em fazer a descriptografia no proxy:
Para mais detalhes, consulte Terminação SSL do NGINX no Guia de administração do NGINX Plus.
Há momentos em que você pode precisar que o NGINX criptografe o tráfego que ele envia para servidores de backend. Essas solicitações podem chegar ao servidor NGINX como texto simples ou como tráfego criptografado que o NGINX deve descriptografar para tomar uma decisão de roteamento. Usar um pool de conexões keepalive com os servidores de backend minimiza o número de handshakes SSL/TLS e, portanto, maximiza o desempenho do SSL/TLS. Isso é obtido de forma muito simples configurando o NGINX para fazer proxy para “https” para que ele criptografe automaticamente o tráfego que ainda não está criptografado.
Como o NGINX pode fazer tanto a descriptografia quanto a criptografia, você pode obter criptografia de ponta a ponta de todas as solicitações com o NGINX ainda tomando decisões de roteamento da Camada 7. Neste caso, os clientes se comunicam com o NGINX por HTTPS, e ele descriptografa as solicitações e as criptografa novamente antes de enviá-las aos servidores de backend. Isso pode ser desejável quando o servidor proxy não está colocalizado em um data center com os servidores de backend. À medida que mais e mais servidores são movidos para a nuvem, torna-se mais necessário usar HTTPS entre um proxy e servidores de backend.
O NGINX pode manipular certificados de cliente SSL/TLS e pode ser configurado para torná-los opcionais ou obrigatórios . Os certificados de cliente são uma maneira de restringir o acesso aos seus sistemas somente a clientes pré-aprovados, sem exigir uma senha, e você pode controlar os certificados adicionando certificados revogados a uma lista de revogação de certificados (CRL), que o NGINX verifica para determinar se um certificado de cliente ainda é válido.
Há vários outros recursos que ajudam a dar suporte a esses casos de uso, incluindo (mas não se limitando a) os seguintes:
Para mais detalhes, confira estes recursos:
Aqui estão alguns exemplos de recursos de segurança do NGINX. Esses exemplos pressupõem uma compreensão básica da configuração do NGINX.
A configuração a seguir manipula o tráfego HTTP para www.example.com e o envia por proxy para um grupo upstream:
upstream backends {
server 192.168.100.100:80;
server 192.168.100.101:80;
}
server {
listen 80;
server_name www.example.com;
location / {
proxy_pass http://backends;
}
}
Agora adicione suporte a HTTPS para que o NGINX descriptografe o tráfego usando o certificado e a chave privada e se comunique com os servidores de backend via HTTP:
upstream backends {
server 192.168.100.100:80;
server 192.168.100.101:80;
}
server {
listen 80;
listen 443 ssl; # 'ssl' parameter tells NGINX to decrypt the traffic
server_name www.example.com;
ssl_certificate www.example.com.crt; # The certificate file
ssl_certificate_key www.example.com.key; # The private key file
location / {
proxy_pass http://backends;
}
}
Ou se você receber tráfego por HTTP e enviá-lo aos servidores de backend por HTTPS:
upstream backends {
server 192.168.100.100:443;
server 192.168.100.101:443;
}
server {
listen 80;
server_name www.example.com;
location / {
proxy_pass https://backends; # 'https' prefix tells NGINX to encrypt the traffic
}
}
Para experimentar o NGINX Plus, comece hoje mesmo seu teste gratuito de 30 dias ou entre em contato conosco para discutir seus casos de uso.
"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."