Cách bảo mật cho ứng dụng web

Điều kiện bảo mật Một hệ thống mạng bảo mật luôn phải đảm bảo các mục tiêu như: Cho phép hoặc cấm những dịch vụ truy cập ra ngoài; Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong;
Nội dung trích xuất từ tài liệu:
Cách bảo mật cho ứng dụng web Cách bảo mật cho ứng dụng web Điều kiện bảo mật Một hệ thống mạng bảo mật luôn phải đảm bảo các mục tiêu như: Cho phéphoặc cấm những dịch vụ truy cập ra ngoài; Cho phép hoặc cấm những dịch vụ từngoài truy cập vào trong; Theo dõi luồng dữ liệu mạng giữa Internet và Intranet(mạng nội bộ); Kiểm soát và cấm địa chỉ truy nhập; Kiểm soát người sử dụng vàviệc truy cập của người sử dụng; Kiểm soát nội dung thông tin lưu chuyển trênmạng. Với những yêu cầu và mục tiêu do DN đặt ra, các nhà tích hợp hệ thống sẽ tưvấn và xây dựng một hệ thống mạng hoàn chỉnh: + Kết nối bên ngoài bao gồm các thiết bị định tuyến kết nối ADSL, Lease-line… cùng các thiết bị cân bằng tải. + Kết nối bảo mật: Các thiết bị tường lửa (Firewall), các hệ thống phòngchống tấn công IDS/IPS... và phần mềm giám sát hệ thống. + Hệ thống máy chủ: Các máy chủ (server) cài đặt hệ điều hành Windows,Linux… và các giải pháp phòng chống virus, chống thư rác (spam mail)... + Hệ thống lưu trữ: Các thiết bị lưu trữ dữ liệu tích hợp SAN (Storage AreaNetwork)... Đầu tư hệ thống bảo mật Việc đầu tư một hệ thống bảo mật theo đúng tiêu chuẩn mà các nhà tích hợphệ thống đem lại cho DN có thực sự hoàn hảo hay không? DN có thể tham khảobảng đánh giá của các hãng bảo mật: Chúng ta nhìn thấy một số vấn đề nổi bật về bảo mật thông tin như: Thứnhất là các cuộc tấn công, xâm hại vào các hệ thống web site của DN diễn ra ngàycàng liên tục và tinh vi hơn (25,48% cuộc tấn công chưa xác định nguồn gốc). Thứhai là các hệ thống máy chủ được trang bị tất cả các giải pháp bảo mật tiên tiến vẫnchịu sự tấn công trực tiếp mà không ngăn chặn hoàn toàn được. Theo thống kê các phương thức tấn công mạng phổ biến hiện nay, các kiểutấn công truyền thống như SQL Injection, Cross-Site Script, Brute Force... vẫn đanggây thiệt hại cho hệ thống mạng dù đã được cảnh báo từ rất lâu. Theo thống kê các phương thức tấn công hiện nay (hình 1) chúng ta thấy cáckiểu tấn công truyền thống như SQL Injection, Cross-Site Script, Brute Force... vẫnđang gây thiệt hại cho hệ thống mạng dù đã được cảnh báo từ rất lâu. Các cuộc tấn công này chủ yếu tập trung vào các ứng dụng web được pháttriển trong các dịch vụ thương mại điện tử với nền tảng ứng dụng web 2.0. Vấn đềbảo mật cho các ứng dụng hiện nay nói chung và ứng dụng web nói riêng vẫn cònkhá “mới mẻ” đối với các DN Việt Nam. Một DN cần triển khai một ứng dụng TMĐT họ sẽ thực hiện các bước sau:Xây dựng ứng dụng theo các nhu cầu kinh doanh và việc này sẽ do một nhóm phụtrách lập trình thiết kế và xây dựng; Kế đến là trang bị hạ tầng mạng để triển khaiứng dụng này. Các thiết bị bảo mật hiện nay như tường lửa (Firewall), IPS/IDS sẽ không thểgiám sát, đánh giá được hết các ứng dụng được xây dựng trên nền tảng web (cụthể ở đây là giao thức HTTP/HTTPS). Chỉ có các thiết bị bảo vệ ứng dụng webtrước các cuộc tấn công - Web Application Firewall (WAF) chuyên dụng mới đápứng yêu cầu này. Một bức tường lửa chuyên dụng sẽ làm các nhiệm vụ như sau: + Thiết lập các chính sách cho các kết nối người dùng HTTP thông qua việcchọn lọc nội dung cho máy chủ dịch vụ web. + Bảo vệ hệ thống trước các loại hình tấn công phổ biến trên mạng như:Cross-site Scripting (XSS) và SQL Injection. + Ngoài việc những động tác kiểm tra của một bức tường lửa thông thường,WAF sẽ kiểm tra sâu hơn, sẽ kiểm tra các nội dung HTTP ở lớp ứng dụng Hình 1: Báo cáo rủi ro các cuộc tấn công Web Giải pháp bảo mật ứng dụng web được diễn đạt như sau: Giải pháp bảo mật ứng dụng web sẽ hỗ trợ tốt hơn: + Hạn chế tối đa các cuộc tấn công và các ứng dụng thông qua thiết bị bảo vệứng dụng web chuyên dụng (Web Application Firewall). + Tập trung phát triển, xây dựng các ứng dụng web theo đúng tiêu chuẩnWeb 2.0 với các tiêu chí bảo mật web cao nhất (PCI DSS, OWASP…) + Khả năng giám sát, phòng chống tấn công có chiều sâu và tập trung. + Nâng cao hiệu năng của hệ thống, phát huy tối đa các tính năng bảo mậtcủa từng thiết bị trong hệ thống. Có cần bảo mật ứng dụng? Hiện nay, trên thế giới các dự án về bảo mật ứng dụng web trong TMĐT đềuphát triển trên 2 năm và có nhiều giải pháp cho vần đề này. Bên cạnh đó cũng xuấthiện một số tổ chức thường xuyên phân tích, đáng giá và đưa ra những tiêu chí bảomật mới nhất. Chúng ta có thể kể đến OWASP (Open Web Application SecurityProject), một tổ chức phi lợi nhuận cung cấp cho cộng đồng các rủi ro phát sinhtrong các ứng dụng web. Tại Việt Nam, các DN vẫn chưa có được khái niệm chính xác về những rủi rođang tiềm ẩn trong ứng dụng web. Chúng ta vẫn chưa xác định được rủi ro, sai sóttrên website để dẫn đến hiểm họa tấn công mạng. Các DN đang hướng đến TMĐT hoặc ứng dụng chạy trên nền tảng web cầntăng ...