Cách bảo mật cho ứng dụng web pps
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (238.52 KB, 6 trang )
Cách bảo mật cho ứng
dụng web
Điều kiện bảo mật
Một hệ thống mạng bảomật luôn phải đảm bảo các mục tiêu như: Cho phép
hoặc cấm những dịchvụ truycập rangoài;Cho phép hoặc cấm những dịch vụ từ
ngoài truycập vào trong; Theo dõi luồng dữ liệumạng giữa Internet và Intranet
(mạng nộibộ); Kiểm soátvàcấm địa chỉ truy nhập; Kiểm soát người sử dụng và
việc truy cập của người sử dụng; Kiểm soát nội dungthôngtin lưu chuyểntrên
mạng.
Với nhữngyêu cầu và mục tiêu doDNđặt ra,các nhà tích hợp hệ thống sẽ tư
vấn vàxâydựng một hệ thống mạng hoàn chỉnh:
+ Kết nối bên ngoàibao gồm cácthiếtbị định tuyến kếtnối ADSL, Lease-
line… cùng các thiết bị cân bằngtải.
+ Kết nối bảo mật: Cácthiết bị tường lửa (Firewall),các hệ thống phòng
chống tấn công IDS/IPS và phần mềm giám sát hệ thống.
+ Hệ thống máy chủ: Các máy chủ (server) cài đặt hệ điều hành Windows,
Linux… và các giảipháp phòng chống virus,chống thư rác (spammail)
+ Hệ thống lưu trữ: Cácthiết bị lưu trữ dữ liệu tích hợp SAN(Storage Area
Network)
Đầu tư hệ thống bảo mật
Việc đầu tư một hệ thống bảo mật theo đúng tiêu chuẩnmàcác nhà tích hợp
hệ thống đem lại cho DNcó thực sự hoàn hảo haykhông?DN cóthể tham khảo
bảng đánhgiá của cáchãng bảo mật:
Chúng ta nhìn thấy một số vấn đề nổi bật về bảo mật thông tin như: Thứ
nhất là các cuộc tấn công, xâm hại vàocác hệ thống web sitecủa DN diễn ra ngày
càng liêntục và tinh vi hơn (25,48%cuộc tấncôngchưa xác địnhnguồngốc). Thứ
hai là các hệ thống máychủ được trangbị tấtcả các giải pháp bảo mật tiêntiếnvẫn
chịu sự tấn côngtrực tiếp mà không ngăn chặn hoàn toàn được.
Theo thốngkê các phương thức tấncông mạng phổ biến hiện nay, các kiểu
tấn công truyền thống như SQLInjection, Cross-SiteScript,BruteForce vẫn đang
gây thiệt hại cho hệ thốngmạng dù đã đượccảnh báo từ rất lâu.
Theo thốngkê các phương thức tấncông hiện nay (hình 1) chúng ta thấy các
kiểu tấn công truyềnthốngnhư SQL Injection, Cross-SiteScript,BruteForce vẫn
đang gây thiệt hại cho hệ thống mạng dù đã được cảnh báo từ rất lâu.
Các cuộc tấn công nàychủ yếu tập trung vàocácứng dụng web được phát
triển trongcác dịchvụ thương mại điện tử với nềntảng ứngdụng web2.0. Vấn đề
bảo mật chocác ứng dụng hiện naynói chungvà ứng dụngweb nói riêng vẫncòn
khá “mới mẻ” đối vớicác DN Việt Nam.
Một DN cần triển khaimột ứng dụng TMĐT họ sẽ thực hiệncácbước sau:
Xây dựng ứng dụngtheocác nhu cầukinh doanhvà việcnày sẽ do một nhóm phụ
trách lập trình thiết kế và xây dựng;Kế đến là trangbị hạ tầng mạng để triển khai
ứng dụngnày.
Các thiếtbị bảomật hiện nay như tường lửa (Firewall), IPS/IDS sẽ không thể
giám sát, đánh giá được hết các ứng dụng được xây dựng trênnền tảng web(cụ
thể ở đâylàgiao thức HTTP/HTTPS). Chỉ có các thiết bị bảo vệ ứng dụng web
trước các cuộc tấn công - Web ApplicationFirewall (WAF)chuyên dụng mới đáp
ứng yêu cầu này.
Một bức tường lửa chuyên dụng sẽ làm các nhiệm vụ như sau:
+ Thiết lập các chínhsáchcho các kết nối người dùng HTTP thôngqua việc
chọn lọc nội dung chomáy chủ dịch vụ web.
+ Bảo vệ hệ thốngtrước các loại hình tấn công phổ biếntrên mạngnhư:
Cross-site Scripting (XSS) và SQL Injection.
+ Ngoài việc nhữngđộng tác kiểmtra của một bức tường lửa thôngthường,
WAF sẽ kiểmtra sâu hơn, sẽ kiểm tra các nội dung HTTPở lớp ứng dụng
Hình 1: Báo cáo rủi ro các cuộc tấn công Web
Giải pháp bảo mật ứngdụng webđược diễnđạt như sau:
Giải pháp bảo mật ứngdụng websẽ hỗ trợ tốt hơn:
+ Hạn chế tối đa các cuộc tấn công vàcác ứng dụng thông qua thiết bị bảo vệ
ứng dụngweb chuyêndụng (Web ApplicationFirewall).
+ Tập trungphát triển,xâydựng các ứngdụng web theo đúng tiêu chuẩn
Web 2.0 vớicác tiêu chíbảo mật webcao nhất (PCI DSS,OWASP…)
+ Khả năng giám sát, phòng chống tấn côngcó chiều sâu và tập trung.
+ Nâng caohiệu năng của hệ thống, phát huy tối đa các tính năng bảo mật
của từng thiết bị trong hệ thống.
Có cần bảo mật ứng dụng?
Hiện nay,trên thế giới các dự án về bảo mật ứng dụng web trongTMĐT đều
phát triển trên 2 năm và có nhiều giải pháp cho vần đề này. Bêncạnh đó cũng xuất
hiện mộtsố tổ chức thường xuyên phântích, đáng giávà đưa ra những tiêu chí bảo
mật mớinhất. Chúng ta có thể kể đến OWASP(Open WebApplication Security
Project), một tổ chức phi lợi nhuận cung cấpcho cộng đồng các rủi rophát sinh
trong các ứng dụngweb.
Tại Việt Nam,các DNvẫnchưa có được khái niệm chính xácvề những rủi ro
đang tiềm ẩn trong ứng dụng web.Chúng ta vẫnchưa xácđịnhđược rủi ro,saisót
trên websiteđể dẫn đến hiểm họa tấn công mạng.
Các DN đanghướng đến TMĐThoặcứngdụng chạy trên nền tảng webcần
tăng cườngyêu cầu bảo mật chocácứng dụng. DN nên tìm hiểu các vấnđề bảo mật
khi xây dựng các ứng dụng. Ví dụ: Sử dụng ngôn ngữ NoSQL thay thế chongônngữ
SQL truyền thống đã “lạc hậu” và có nhiều rủi ro. Sử dụng các côngcụ mã nguồn
mở như Metasploit,SQLmap,Firecat kiểm tra và đánh giácác lỗ hổng tronghệ
thống mạng.
Xây dựng các biểu mẫu đánh giárủi ro hệ thống(tham khảocáctiêu chuẩn
bảo mật OWASP, WASC ) nhằmphân loại các rủi rođể có các hành độngcụ thể khi
xảy ra sự cố.Nếucó điều kiện, nên sử dụng dịch vụ PenTest(khảo sát độ antoàn
của hệ thống)chuyên nghiệp nhằm hạn chế các rủiro khi có sự cố tấn côngtừ bên
ngoài.
Ngoài ra, các DN cũngnên tổ chức các khóa học ngắn hạn,dài hạn về an toàn
thông tin nhằm nâng cao nhận thức về bảo mật cho nhân viên. Tích cực tìm hiểu
các quytrình, tiêu chuẩnbảo mật như ISO27000, 27001… Hiệu chỉnh các ứng
dụng với sự hỗ trợ của các nhàlập trình rà soát các ứng dụng,nângcấp hệ thống
và tiến hành khảo sát hệ thống (Audit) hàng năm để đánhgiá thực trạngcủa ứng
dụng.
An toàn thông tin đòihỏi cá nhân, tổ chức vàDNphải không ngừngnâng cao
và phát triển liên tục. Các ứngdụngweb tuy mang lại cho người dùng vàDN nhiều
tiện ích, nhưng cũngtrở thành môi trường cho hacker “trụclợi”. Trước khitriển
khai các ứng dụng để kinh doanh,các DN cầnchú ý đến khâu bảo mật ứng dụng
web.
