BẢO MẬT CHO ỨNG DỤNG WEB

Bảo mật cho ứng dụng web Những năm gần đây, các dịch vụ thương mại điện tử (TMĐT) như thanh toán trực tuyến, giao dịch trực tuyến ebanking…
Nội dung trích xuất từ tài liệu:
BẢO MẬT CHO ỨNG DỤNG WEB BẢO MẬT CHO ỨNG DỤNG WEBNhững năm gần đây, các dịch vụ thương mại điện tử (TMĐT) như thanh toán trực tuyến,giao dịch trực tuyến ebanking… phát triển không ngừng. Các tiện ích càng được pháttriển, doanh nghiệp (DN) càng phải trang bị hạ tầng mạng chuyên nghiệp nhằm đáp ứngnhu cầu vận hành liên tục và bảo mật hệ thống.Điều kiện bảo mật Một hệ thống mạng bảo mật luôn phải đảm bảo các mục tiêu như: Cho phép hoặc cấm những dịch vụ truy cập ra ngo ài; Cho phép hoặc cấm những dịch vụ từ ngo ài truy cập vào trong; Theo dõi luồng dữ liệu mạng giữa Internet và Intranet (mạng nội bộ); Kiểm soát và cấm địa chỉ truy nhập; Kiểm soát người sử dụng và việc truy cập của người sử dụng; Kiểm soát nội dung thông tin lưu chuyển trên mạng. Với những yêu cầu và mục tiêu do DN đặtra, các nhà tích hợp hệ thống sẽ tư vấn và xây dựng một hệ thống mạng hoàn chỉnh:+ Kết nối bên ngoài bao gồm các thiết bị định tuyến kết nối ADSL, Lease-line… cùng các thiếtbị cân bằng tải.+ Kết nối bảo mật: Các thiết bị t ường lửa (Firewall), các hệ thống phòng chống tấn côngIDS/IPS... và phần mềm giám sát hệ thống.+ Hệ thống máy chủ: Các máy chủ (server) cài đặt hệ điều hành Windows, Linux… và các giảipháp phòng chống virus, chống thư rác (spam mail)...+ Hệ thống lưu trữ: Các thiết bị lưu trữ dữ liệu tích hợp SAN (Storage Area Network)...Đầu tư hệ thống bảo mậtViệc đầu tư một hệ thống bảo mật theo đúng tiêu chuẩn mà các nhà tích hợp hệ thống đem lạicho DN có thực sự hoàn hảo hay không? DN có thể tham khảo bảng đánh giá của các hãng bảomật:Chúng ta nhìn thấy một số vấn đề nổi bật về bảo mật thông tin như: Thứ nhất là các cuộc tấncông, xâm hại vào các hệ thống web site của DN diễn ra ngày càng liên tục và tinh vi hơn(25,48% cuộc tấn công chưa xác định nguồn gốc). Thứ hai là các hệ thống máy chủ được trangbị tất cả các giải pháp bảo mật tiên tiến vẫn chịu sự tấn công trực tiếp mà không ngăn chặn hoàntoàn được. Theo thống kê các phương thức tấn công hiện nay (hình 1) Theo thống kê các phương chúng ta thấy các kiểu tấn công truyền thống như SQL thức tấn công mạng phổ Injection, Cross-Site Script, Brute Force... vẫn đang gây thiệt biến hiện nay, các kiểu tấn hại cho hệ thống mạng dù đã được cảnh báo từ rất lâu. công truyền thống như SQL Injection, Cross-Site Các cuộc tấn công này chủ yếu tập trung vào các ứng dụng web Script, Brute Force... vẫn được phát triển trong các dịch vụ thương mại điện tử với nền đang gây thiệt hại cho hệ tảng ứng dụng web 2.0. Vấn đề bảo mật cho các ứng dụng hiện thống mạng dù đã được nay nói chung và ứng dụng web nói riêng vẫn còn khá “mới cảnh báo từ rất lâu. mẻ” đối với các DN Việt Nam.Một DN cần triển khai một ứng dụng TMĐT họ sẽ thực hiện các bước sau: Xây dựng ứng dụngtheo các nhu cầu kinh doanh và việc này sẽ do một nhóm phụ trách lập trình thiết kế và xâydựng; Kế đến là trang bị hạ tầng mạng để triển khai ứng dụng này.Các thiết bị bảo mật hiện nay như tường lửa (Firewall), IPS/IDS sẽ không thể giám sát, đánh giáđược hết các ứng dụng được xây dựng trên nền tảng web (cụ thể ở đây là giao thứcHTTP/HTTPS). Chỉ có các thiết bị bảo vệ ứng dụng web trước các cuộc tấn công - WebApplication Firewall (WAF) chuyên dụng mới đáp ứng yêu cầu này.Một bức tường lửa chuyên dụng sẽ làm các nhiệm vụ như sau:+ Thiết lập các chính sách cho các kết nối người dùng HTTP thông qua việc chọn lọc nội dungcho máy chủ dịch vụ web.+ Bảo vệ hệ thống trước các loại hình tấn công phổ biến trên mạng như: Cross-site Scripting(XSS) và SQL Injection.+ Ngoài việc những động tác kiểm tra của một bức t ường lửa thông thường, WAF sẽ kiểm trasâu hơn, sẽ kiểm tra các nội dung HTTP ở lớp ứng dụng Hình 1. Báo cáo rủi ro các cuộc tấn công WebGiải pháp bảo mật ứng dụng web được diễn đạt như sau:Giải pháp bảo mật ứng dụng web sẽ hỗ trợ tốt hơn:+ Hạn chế tối đa các cuộc tấn công và các ứng dụng thông qua thiết bị bảo vệ ứng dụng webchuyên dụng (Web Application Firewall).+ Tập trung phát triển, xây dựng các ứng dụng web theo đúng tiêu chuẩn Web 2.0 với các tiêuchí bảo mật web cao nhất (PCI DSS, OWASP…)+ Khả năng giám sát, phòng chống tấn công có chiều sâu và tập trung.+ Nâng cao hiệu năng của hệ thống, phát huy tối đa các tính năng bảo mật của từng thiết bịtrong hệ thốn ...