Cách bảo mật cho ứng dụng web

Cách bảo mật cho ứng dụng web (24h) Thứ Sáu, ngày 08/04/2011, 13:00 Những năm gần đây, các dịch vụ thương mại điện tử (TMĐT) như thanh toán trực tuyến, giao dịch trực tuyến ebanking… phát triển không ngừng. Các tiện ích càng được phát triển, doanh nghiệp (DN) càng phải trang bị hạ tầng mạng chuyên nghiệp nhằm đáp ứng nhu cầu vận hành liên tục và bảo mật hệ thống.

Điều kiện bảo mật
Một hệ thống mạng bảo mật luôn phải đảm bảo các mục tiêu như: Cho
phép hoặc cấm những dịch vụ truy cập ra ngoài; Cho phép hoặc cấm những
dịch vụ từ ngoài truy cập vào trong; Theo dõi luồng dữ liệu mạng giữa
Internet và Intranet (mạng nội bộ); Kiểm soát và cấm địa chỉ truy nhập;
Kiểm soát người sử dụng và việc truy cập của người sử dụng; Kiểm soát
nội dung thông tin lưu chuyển trên mạng.


Với những yêu cầu và mục tiêu do DN đặt ra, các nhà tích hợp hệ thống sẽ tư vấn và xây dựng một hệ thống mạng hoàn chỉnh:
+ Kết nối bên ngoài bao gồm các thiết bị định tuyến kết nối ADSL, Lease-line… cùng các thiết bị cân bằng tải.
+ Kết nối bảo mật: Các thiết bị tường lửa (Firewall), các hệ thống
phòng chống tấn công IDS/IPS... và phần mềm giám sát hệ thống.
+ Hệ thống máy chủ: Các máy chủ (server) cài đặt hệ điều hành
Windows, Linux… và các giải pháp phòng chống virus, chống thư rác (spam
mail)...
+ Hệ thống lưu trữ: Các thiết bị lưu trữ dữ liệu tích hợp SAN (Storage Area Network)...


Đầu tư hệ thống bảo mật
Việc đầu tư một hệ thống bảo mật theo đúng tiêu chuẩn mà các nhà tích
hợp hệ thống đem lại cho DN có thực sự hoàn hảo hay không? DN có thể
tham khảo bảng đánh giá của các hãng bảo mật:
Chúng ta nhìn thấy một số vấn đề nổi bật về bảo mật thông tin như:
Thứ nhất là các cuộc tấn công, xâm hại vào các hệ thống web site của DN
diễn ra ngày càng liên tục và tinh vi hơn (25,48% cuộc tấn công chưa xác
định nguồn gốc). Thứ hai là các hệ thống máy chủ được trang bị tất cả
các giải pháp bảo mật tiên tiến vẫn chịu sự tấn công trực tiếp mà không
ngăn chặn hoàn toàn được.
Theo thống kê các phương thức tấn công mạng phổ biến hiện nay, các
kiểu tấn công truyền thống như SQL Injection, Cross-Site Script, Brute
Force... vẫn đang gây thiệt hại cho hệ thống mạng dù đã được cảnh báo từ
rất lâu.
Theo thống kê các phương thức tấn công hiện nay (hình 1) chúng ta
thấy các kiểu tấn công truyền thống như SQL Injection, Cross-Site
Script, Brute Force... vẫn đang gây thiệt hại cho hệ thống mạng dù đã
được cảnh báo từ rất lâu.
Các cuộc tấn công này chủ yếu tập trung vào các ứng dụng web được
phát triển trong các dịch vụ thương mại điện tử với nền tảng ứng dụng
web 2.0. Vấn đề bảo mật cho các ứng dụng hiện nay nói chung và ứng dụng
web nói riêng vẫn còn khá “mới mẻ” đối với các DN Việt Nam.
Một DN cần triển khai một ứng dụng TMĐT họ sẽ thực hiện các bước sau:
Xây dựng ứng dụng theo các nhu cầu kinh doanh và việc này sẽ do một
nhóm phụ trách lập trình thiết kế và xây dựng; Kế đến là trang bị hạ
tầng mạng để triển khai ứng dụng này.
Các thiết bị bảo mật hiện nay như tường lửa (Firewall), IPS/IDS sẽ
không thể giám sát, đánh giá được hết các ứng dụng được xây dựng trên
nền tảng web (cụ thể ở đây là giao thức HTTP/HTTPS). Chỉ có các thiết bị
bảo vệ ứng dụng web trước các cuộc tấn công - Web Application Firewall
(WAF) chuyên dụng mới đáp ứng yêu cầu này.
Một bức tường lửa chuyên dụng sẽ làm các nhiệm vụ như sau:
+ Thiết lập các chính sách cho các kết nối người dùng HTTP thông qua việc chọn lọc nội dung cho máy chủ dịch vụ web.
+ Bảo vệ hệ thống trước các loại hình tấn công phổ biến trên mạng như: Cross-site Scripting (XSS) và SQL Injection.
+ Ngoài việc những động tác kiểm tra của một bức tường lửa thông
thường, WAF sẽ kiểm tra sâu hơn, sẽ kiểm tra các nội dung HTTP ở lớp ứng
dụng



Hình 1: Báo cáo rủi ro các cuộc tấn công Web
Giải pháp bảo mật ứng dụng web được diễn đạt như sau:
Giải pháp bảo mật ứng dụng web sẽ hỗ trợ tốt hơn:
+ Hạn chế tối đa các cuộc tấn công và các ứng dụng thông qua thiết bị
bảo vệ ứng dụng web chuyên dụng (Web Application Firewall).
+ Tập trung phát triển, xây dựng các ứng dụng web theo đúng tiêu
chuẩn Web 2.0 với các tiêu chí bảo mật web cao nhất (PCI DSS, OWASP…)
+ Khả năng giám sát, phòng chống tấn công có chiều sâu và tập trung.
+ Nâng cao hiệu năng của hệ thống, phát huy tối đa các tính năng bảo mật của từng thiết bị trong hệ thống.
Có cần bảo mật ứng dụng?
Hiện nay, trên thế giới các dự án về bảo mật ứng dụng web trong TMĐT
đều phát triển trên 2 năm và có nhiều giải pháp cho vần đề này. Bên cạnh
đó cũng xuất hiện một số tổ chức thường xuyên phân tích, đáng giá và
đưa ra những tiêu chí bảo mật mới nhất. Chúng ta có thể kể đến OWASP
(Open Web Application Security Project), một tổ chức phi lợi nhuận cung
cấp cho cộng đồng các rủi ro phát sinh trong các ứng dụng web.


Tại Việt Nam, các DN vẫn chưa có được khái niệm chính xác về những
rủi ro đang tiềm ẩn trong ứng dụng web. Chúng ta vẫn chưa xác định được
rủi ro, sai sót trên website để dẫn đến hiểm họa tấn công mạng.
Các DN đang hướng đến TMĐT hoặc ứng dụng chạy trên nền tảng web cần
tăng cường yêu cầu bảo mật cho các ứng dụng. DN nên tìm hiểu các vấn đề
bảo mật khi xây dựng các ứng dụng. Ví dụ: Sử dụng ngôn ngữ NoSQL thay
thế cho ngôn ngữ SQL truyền thống đã “lạc hậu” và có nhiều rủi ro. Sử
dụng các công cụ mã nguồn mở như Metasploit, SQLmap, Firecat... kiểm tra
và đánh giá các lỗ hổng trong hệ thống mạng.
Xây dựng các biểu mẫu đánh giá rủi ro hệ thống (tham khảo các tiêu
chuẩn bảo mật OWASP, WASC...) nhằm phân loại các rủi ro để có các hành
động cụ thể khi xảy ra sự cố. Nếu có điều kiện, nên sử dụng dịch vụ
PenTest (khảo sát độ an toàn của hệ thống) chuyên nghiệp nhằm hạn chế
các rủi ro khi có sự cố tấn công từ bên ngoài.
Ngoài ra, các DN cũng nên tổ chức các khóa học ngắn hạn, dài hạn về
an toàn thông tin nhằm nâng cao nhận thức về bảo mật cho nhân viên. Tích
cực tìm hiểu các quy trình, tiêu chuẩn bảo mật như ISO 27000, 27001…
Hiệu chỉnh các ứng dụng với sự hỗ trợ của các nhà lập trình rà soát các
ứng dụng, nâng cấp hệ thống và tiến hành khảo sát hệ thống (Audit) hàng
năm để đánh giá thực trạng của ứng dụng.
An toàn thông tin đòi hỏi cá nhân, tổ chức và DN phải không ngừng
nâng cao và phát triển liên tục. Các ứng dụng web tuy mang lại cho người
dùng và DN nhiều tiện ích, nhưng cũng trở thành môi trường cho hacker
“trục lợi”. Trước khi triển khai các ứng dụng để kinh doanh, các DN cần
chú ý đến khâu bảo mật ứng dụng web.