Cách bảo mật cho ứng
dụng web
Điều kiện bảo mật
Một hệthống mạng bảo mật luôn phảiđảm bảo các mục tiêu như: Cho phép
hoặc cấm những dịch vụtruy cập ra ngoài; Cho phép hoặc cấm những dịch vụtừ
ngoài truy cập vào trong; Theo dõi luồng dữliệu mạng giữa Internet và Intranet
(mạng nội bộ); Kiểm soát và cấmđịa chỉtruy nhập; Kiểm soát người sửdụng và
việc truy cập của người sửdụng; Kiểm soát nội dung thông tin lưu chuyển trên
mạng.
Với những yêu cầu và mục tiêu do DN đặt ra, các nhà tích hợp hệthống sẽtư
vấn và xây dựng một hệthống mạng hoàn chỉnh:
+ Kết nối bên ngoài bao gồm các thiết bị định tuyến kết nối ADSL, Lease-
line… cùng các thiết bịcân bằng tải.
+ Kết nối bảo mật: Các thiết bịtường lửa (Firewall), các hệthống phòng
chống tấn công IDS/IPS... và phần mềm giám sát hệthống.
+ Hệthống máy chủ: Các máy chủ(server) cài đặt hệ điều hành Windows,
Linux… và các giải pháp phòng chống virus, chống thưrác (spam mail)...
+ Hệthống lưu trữ: Các thiết bịlưu trữdữliệu tích hợp SAN (Storage Area
Network)...
Đầu tưhệthống bảo mật
Việcđầu tưmột hệthống bảo mật theo đúng tiêu chuẩn mà các nhà tích hợp
hệthống đem lại cho DN có thực sựhoàn hảo hay không? DN có thểtham khảo
bảng đánh giá của các hãng bảo mật:
Chúng ta nhìn thấy một sốvấnđề nổi bật vềbảo mật thông tin như: Thứ
nhất là các cuộc tấn công, xâm hại vào các hệthống web site của DN diễn ra ngày
càng liên tục và tinh vi hơn (25,48% cuộc tấn công chưa xác định nguồn gốc). Thứ
hai là các hệthống máy chủ được trang bịtất cảcác giải pháp bảo mật tiên tiến vẫn
chịu sựtấn công trực tiếp mà không ngăn chặn hoàn toàn được.
Theo thống kê các phương thức tấn công mạng phổbiến hiện nay, các kiểu
tấn công truyền thống nhưSQL Injection, Cross-Site Script, Brute Force... vẫnđang
gây thiệt hại cho hệthống mạng dù đã được cảnh báo từrất lâu.
Theo thống kê các phương thức tấn công hiện nay (hình 1) chúng ta thấy các
kiểu tấn công truyền thống nhưSQL Injection, Cross-Site Script, Brute Force... vẫn
đang gây thiệt hại cho hệthống mạng dù đã được cảnh báo từrất lâu.
Các cuộc tấn công này chủyếu tập trung vào các ứng dụng web được phát
triển trong các dịch vụthương mạiđiện tửvới nền tảng ứng dụng web 2.0. Vấnđề
bảo mật cho các ứng dụng hiện nay nói chung và ứng dụng web nói riêng vẫn còn
khá “mới mẻ” đối với các DN Việt Nam.
Một DN cần triển khai mộtứng dụng TMĐT họsẽthực hiện các bước sau:
Xây dựng ứng dụng theo các nhu cầu kinh doanh và việc này sẽdo một nhóm phụ
trách lập trình thiết kếvà xây dựng; Kế đến là trang bịhạtầng mạng để triển khai
ứng dụng này.
Các thiết bịbảo mật hiện nay nhưtường lửa (Firewall), IPS/IDS sẽkhông thể
giám sát, đánh giá được hết các ứng dụng được xây dựng trên nền tảng web (cụ
thể ở đây là giao thức HTTP/HTTPS). Chỉcó các thiết bịbảo vệ ứng dụng web
trước các cuộc tấn công - Web Application Firewall (WAF) chuyên dụng mớiđáp
ứng yêu cầu này.
Một bức tường lửa chuyên dụng sẽlàm các nhiệm vụnhưsau:
+ Thiết lập các chính sách cho các kết nối người dùng HTTP thông qua việc
chọn lọc nội dung cho máy chủdịch vụweb.
+ Bảo vệhệthống trước các loại hình tấn công phổbiến trên mạng như:
Cross-site Scripting (XSS) và SQL Injection.
+ Ngoài việc những động tác kiểm tra của một bức tường lửa thông thường,
WAF sẽkiểm tra sâu hơn, sẽkiểm tra các nội dung HTTP ởlớpứng dụng
Hình 1: Báo cáo rủi ro các cuộc tấn công Web
Giải pháp bảo mậtứng dụng web được diễnđạt nhưsau:
Giải pháp bảo mậtứng dụng web sẽhỗtrợtốt hơn:
+ Hạn chếtốiđa các cuộc tấn công và các ứng dụng thông qua thiết bịbảo vệ
ứng dụng web chuyên dụng (Web Application Firewall).
+ Tập trung phát triển, xây dựng các ứng dụng web theo đúng tiêu chuẩn
Web 2.0 với các tiêu chí bảo mật web cao nhất (PCI DSS, OWASP…)
+ Khảnăng giám sát, phòng chống tấn công có chiều sâu và tập trung.
+ Nâng cao hiệu năng của hệthống, phát huy tốiđa các tính năng bảo mật
của từng thiết bịtrong hệthống.
Có cần bảo mậtứng dụng?
Hiện nay, trên thếgiới các dựán vềbảo mậtứng dụng web trong TMĐTđều
phát triển trên 2 năm và có nhiều giải pháp cho vầnđề này. Bên cạnh đó cũng xuất
hiện một sốtổchức thường xuyên phân tích, đáng giá và đưa ra những tiêu chí bảo
mật mới nhất. Chúng ta có thểkể đến OWASP (Open Web Application Security
Project), một tổchức phi lợi nhuận cung cấp cho cộng đồng các rủi ro phát sinh
trong các ứng dụng web.
Tại Việt Nam, các DN vẫn chưa có được khái niệm chính xác vềnhững rủi ro
đang tiềmẩn trong ứng dụng web. Chúng ta vẫn chưa xác định được rủi ro, sai sót
trên website để dẫnđến hiểm họa tấn công mạng.
Các DN đang hướng đến TMĐT hoặcứng dụng chạy trên nền tảng web cần
tăng cường yêu cầu bảo mật cho các ứng dụng. DN nên tìm hiểu các vấnđề bảo mật
khi xây dựng các ứng dụng. Ví dụ: Sửdụng ngôn ngữNoSQL thay thếcho ngôn ngữ
SQL truyền thống đã “lạc hậu” và có nhiều rủi ro. Sửdụng các công cụmã nguồn
mởnhưMetasploit, SQLmap, Firecat... kiểm tra và đánh giá các lỗhổng trong hệ
thống mạng.
Xây dựng các biểu mẫuđánh giá rủi ro hệthống (tham khảo các tiêu chuẩn
bảo mật OWASP, WASC...) nhằm phân loại các rủi ro để có các hành động cụthểkhi
xảy ra sựcố. Nếu có điều kiện, nên sửdụng dịch vụPenTest (khảo sát độ an toàn
của hệthống) chuyên nghiệp nhằm hạn chếcác rủi ro khi có sựcốtấn công từbên
ngoài.
Ngoài ra, các DN cũng nên tổchức các khóa học ngắn hạn, dài hạn vềan toàn
thông tin nhằm nâng cao nhận thức vềbảo mật cho nhân viên. Tích cực tìm hiểu
