A crescente exposição e complexidade das infraestruturas de rede têm aumentado a importância da segurança. Nesse sentido, um grande aliado é o uso de soluções de proxy reverso, como o NginX.

No entanto, embora amplamente adotado o NginX como um proxy reverso, vamos abordar estratégias e práticas recomendadas para reforçar a segurança nesta solução.

Em resumo, estas estratégias visam fortalecer a resiliência do ambiente contra ameaças cibernéticas e promover a segurança dos sistemas e dados gerenciados por ele, através da adição de cabeçalhos de segurança na configuração do proxy reverso.

Porque implementar configurações no proxy reverso.

Adicionar cabeçalhos de segurança na configuração do Nginx oferece várias vantagens, incluindo:

  1. Proteção contra ataques: Cabeçalhos de segurança (como o Content-Security-Policy (CSP), X-Frame-Options, X-XSS-Protection, e X-Content-Type-Options) ajudam a proteger contra diversos ataques.
  2. Controle de políticas de segurança: Os cabeçalhos de segurança controlam como navegadores interagem com o site, restringindo o comportamento e reduzindo potenciais fontes de ataque.
  3. Prevenção de Clickjacking: O cabeçalho X-Frame-Options protege contra ataques ao especificar se uma página pode ser exibida em um frame ou iframe. Ele ajuda a proteger sua aplicação contra a inclusão maliciosa em frames de outras páginas da web.
  4. Prevenção de ataques XSS: O cabeçalho X-XSS-Protection ajudam a prevenir ataques de Cross-Site, ao ativar o mecanismo de proteção XSS integrado nos navegadores web modernos.
  5. Controle de MIME types: O cabeçalho X-Content-Type-Options previne ataques de MIME sniffing, especificando que o navegador respeite o tipo de conteúdo declarado no cabeçalho Content-Type.
  6. Políticas de conteúdo seguro: O Content-Security-Policy (CSP) permite especificar fontes confiáveis de recursos (como script), reduzindo a execução de scripts maliciosos ou não autorizados.
  7. Aumento da confiabilidade e integridade dos dados: Ajuda a garantir que os dados sejam transmitidos de forma segura, reduzindo o risco de comprometimento de dados.

Em suma, a adição de cabeçalhos de segurança na configuração do proxy reverso com Nginx é uma prática recomendada para fortalecer a segurança da sua aplicação web e proteger contra uma variedade de ataques e vulnerabilidades comuns.

Testando a configuração do seu ambiente

Antes de implementar qualquer configuração, sugerimos que você verifique a segurança atual do seu site, para isso iremos sugerir uma ferramenta web simples e eficiente.

O Security Headers é uma ferramenta web de teste gratuita. Além disso, irá ajudá-lo a compreender quais são os ajustes recomendados, proporcionando uma classificação de resultado do seu ambiente e informações sobre como implantar cabeçalhos de segurança que estejam ausentes.

Com essa análise e ajustes resultará em um aumento da segurança de seus sites e/ou aplicações Web.

Aplicando configurações de segurança

Já postamos alguns conteúdos sobre Instalando o Proxy Reverso com NgniX no CentOS7. Além disso, agora, disponibilizamos abaixo algumas configurações simples para melhorar a segurança dos sites disponibilizados neste proxy.

Para isso adicione as seguintes configurações dentro da sessão server {

        client_max_body_size            90m;
        add_header                      Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
        add_header Content-Security-Policy "object-src 'none'; frame-ancestors 'self';";
        add_header Content-Security-Policy "frame-ancestors 'self';";
        add_header Content-Security-Policy "font-src *;img-src * data:;";
        add_header X-Content-Type-Options "nosniff";
        add_header X-XSS-Protection "1; mode=block";
        add_header Referrer-Policy "strict-origin";
        add_header Permissions-Policy "geolocation=(),midi=(),sync-xhr=(),microphone=(),camera=(),magnetometer=(),gyroscope=(),fullscreen=(self),payment=()";
        proxy_hide_header X-Powered-By;

Por fim, verifique a segurança, antes e depois de executar essas configurações, através do site Security Headers.

Fontes/Referências

NVLAN – Instalando o Proxy Reverso com Ngnix no CentOS7

https://securityheaders.com
https://stackoverflow.com/questions/962230/hide-x-powered-by-nginx
https://webdock.io/en/docs/how-guides/security-guides/how-to-configure-security-headers-in-nginx-and-apache

Mais Informações

Esperamos ter te ajudado e estaremos sempre a disposição para mais informações.

Se você tem interesse em algum assunto específico, tem alguma dúvida, precisa de ajuda, ou quer sugerir um post, entre em contato conosco pelo e-mail equipe@nvlan.com.br.

NVLAN - Consultoria