Vấn đề bảo vệ ứng dụng Web
Ứng dụng Web bao gồm cổng thông tin Web, Website thông tin, giao dịch thương mại điện tử,.. hầu như không thể thiếu đối với hoạt động các tổ chức/doanh nghiệp. Tuy nhiên ứng dụng Web tồn tại các nguy cơ rất cao về an ninh mạng bởi vì chúng được truy cập từ Internet và là ứng dụng chứa nhiều điểm yếu an ninh nhất. Theo các nghiên cứu, có trên 80% ứng dụng Web đều có những điểm yếu nguy hiểm và 75% các tấn công mạng là nhằm vào ứng dụng Web. Khi triển khai ứng dụng Web, các tổ chức/doanh nghiệp có thể đối mặt các nguy cơ sau:
- Các tấn công phá hoại như là thay đổi giao diện, thông tin trên trang web với mục đích bôi nhọ hình ảnh, làm phương hại, giảm uy tín tổ chức/doanh nghiệp,…
- Tấn công làm sai lệch hay đánh cắp các dữ liệu nhạy cảm với mục đích trục lợi như: như dữ liệu khách hàng, các thông tin bí mật nhạy cảm khác… Các ứng dụng Web thường kết nối với hệ thống dữ liệu đằng sau (Cơ sở dữ liệu back-end), kẻ tấn công khi khai thác thành công lỗ hỗng trên ứng dụng sẽ dễ dàng xâm nhập vào hệ thống CSDL để đánh cắp, thay đổihoặc phá hoại dữ liệu.
- Nguy cơ bị tấn công từ chối dịch (DoS) vụ làm cho website không còn khả năng phục vụ các yêu cầu hợp lệ.
Không chỉ các nguy cơ từ bên ngoài, các nguy cơ còn có thể bên trongtừ những người dùng và ứng dụng nội bộ bên trong mà có thể lạm quyền, thực hiện hành động trái phép vào CSDL cho hệ thống. Nhiều tổ chức đã trang bị hệ thống tường lửa mạng và chống xâm nhập (IPS), tuy nhiên các giải pháp này chưa đủ khả năng chống tấn công vào ứng dụng Web do tường lửa mạng không kiểm tra sâu nội dung qua cổng Web được mở, còn IPS chủ yếu dựa vào mẫu cho trước (signature) nên nhiều tấn công với kỹ thuật lẩn tránh tinh vi có thể vượt qua. Bảo vệ ứng dụng Web đòi hỏikhả năng phân tích sâu vào tầng ứng dụng và dữ liệu, đồng thời phải kiểm soát được toàn diện các truy cập từ ứng dụng tới dữ liệu, chống lại nguy cơ bên ngoài lẫn bên trong.
Giải pháp bảo vệ hạ tầng ứng dụng Web của Imperva
Một giải pháp được thiết kế để chuyên bảo vệ ứng dụng Web đó là tường lửa ứng dụng Web (Web Application Firewall – WAF). Khác với tường lửa mạng và IPS, WAF có khả năng chống lại các tấn công khai thác điểm yếu ứng dụng Web một cách hiệu quả nhờ bởi khả năng phân tích sâu vào tầng ứng dụng , tự học và hiểu được cấu trúc và quy luật hoạt động của ứng dụng cụ thể của mỗi tổ chức. Giải pháp WAF không đơn thuần chỉ có chức năng bảo vệ ứng dụng, điển hình có 2 loại giải pháp WAF mở rộng, đó là WAF có khả năng cân bằng tải (LB) hoặc thiết bị LB tích hợp WAF, và WAF chuyên dụng có khả năng mở rộng chức năng kiểm soát sâu vào tầng CSDL.
Giải pháp tích hợp WAF và LB thoạt tiên dường như mang lại chi phí thấp và được quan tâm khi các tổ chức/doanh nghiệp cần chức năng LB để nâng cao hiệu năng các máy chủ Web. Tuy nhiên WAF và LB tích hợp có những nhược điểm đáng kể. Chức năng WAF chạy đồng thời với LB có thể làm suy giảm hiệu năng lên tới 70% (do LB phải hoạt động như proxy lớp 7), ảnh hưởng tới chính khả năng LB và không đạt được mục đích ban đầu là nâng cao hiệu năng các máy chủ. Ngoài ra, giải pháp tích hợp này có một số hạn chế khác như là phải triển khai mô hình proxy sẽ yêu cầu thay đổi ứng dụng và mạng, các khả năng phân tích an ninh, quản trị, và báo cáo không được chuyên sâu, khả năng học và hiểu ứng dụng hạn chế hơn giải pháp an ninh chuyên dụng… Ứng dụng Web luôn đòi hỏi duy trì mức độ an ninh và hiệu năng cao, các hạn chế của giải pháp tích hợp LB và WAF sẽ làm phát sinh thêm nhiều khó khăn và chi phí trong quá trình vận hành cũng như phát triển hệ thống sau này, do vậy tổng chi phí đầu tư hệ thống tích hợp WAF và LB sẽ không hề nhỏ. Bảo vệ ứng dụng cũng đòi hỏi giải pháp toàn diện và xuyên suốt, có thể chống được các nguy cơ từ ứng dụng tới dữ liệu như nêu ở trên. VinaAspire cung cấp giải pháp bảo vệ ứng dụng và dữ liệu (WAF và DB security) mang lại hiệu quả cao hơn thông qua nhiều tính năng nổi bật sau:
Tự học ứng dụng:
Có khả năng phân tích rất sâu tầng ứng dụng, tự học và hiểu được cấu trúc và quy luật hoạt động bình thường của ứng dụng, bao gồm các thuộc tính và phương thức hoạt động của các thành phần như người dùng, tham số URL, trường nhập liệu, Cookies, các truy vấn CSDL (SQL),.. Tường lửa tiếp tục tự động học tiếp các thay đổi hợp lệ của ứng dụng mà không phải làm bằng tay. Cơ chế tự học này cung cấp bảo vệ thông minh, chống lại những tấn công mới và bất cứ hành vi trái với qui luật hoạt động thông thường của ứng dụng.
Chống đánh cắp dữ liệu nhạy cảm:
Phát hiện và bảo vệ dữ liệu nhạy cảm như dữ liệu khách hàng, số thẻ thanh toán, dữ liệu bí mật của tổ chức… có thể bị đánh cắp qua tấn công ứng dụng Web.
Giảm nhẹ tấn công DoS:
Nhận diện và ngăn chặn truy cập từ các địa chỉ IP nguồn mà có thể phát động tấn công như Botnet/Anonymous Proxies, có khả năng phân biệt truy cập của người dùng hợp lệ với truy cập của máy tự động,cho phép giảm nhẹ những tấn công tự động đồng loạt trên diện rộng (tấn công DDoS sử dụng mạng Botnet). Ngoài ra tường lửa cung cấp nhiều chính sách chống lại tấn công DoS ở tầng ứng dụng nhưgiới hạn số giao dịch Web, băng thông tải về trong khoảng thời gian ngắn từ một IP.
Bảo vệ toàn diện hạ tầng Website:
Để xác định giải pháp bảo vệ ứng dụng Web nào tốt nhất, các tổ chức cần đánh giá tất cả yêu cầu an ninh. Không chỉ bảo vệ ứng dụng, giải pháp phải có khả năng bảo vệ được toàn bộ hạ tầng ứng dụng bao gồm phần mềm máy chủ Web, hệ điều hành, dịch vụ Web và quan trọng nhất là CSDL backend. Imperva cung cấp khả năng bảo vệ toàn diện cho ứng dụng Web đóng gói hoặc tự phát triển, Web services (XML), phần mềm máy chủ Web và hệ điều hành thông qua sử dụng kết hợp nhiều lớp an ninh bao gồm kiểm tra bất thường trong giao thức, chống tấn công xâm nhập theo mẫu (signature), chống sâu (Web worms), phát hiện các bất thường của ứng dụng qua cơ chế tự học,.. Sự kết hợp này cho phép nhận diện chính xác và chống các tấn công khai thác điểm yếu trên giao thức, hệ điều hành và điểm yếu trên tầng ứng dụng. Đặc biệt hơn hết, giải pháp có thể mở rộngchứcnăng an ninh CSDL cho phép bảo vệ một cách xuyên suốt từ ứng dụng tới CSDL đằng sau. Nó có thể kiểm tra được người dùng ứng dụng nào, từ trang Web nào (URL) đã thực hiện lệnh truy vấn SQL gì trên CSDL, điều mà rất khó thực hiện bởi vì các ứng dụng Web thường sử dụng một tài khoản CSDL chung để kết nối CSDL vì vậy không phân biệt được người dùng cụ thể của ứng dụng thực hiện giao dịch trên CSDL. Chức năng an ninh CSDL cũng kiểm soát được mọi hành động từ người dùng trực tiếp, ứng dụng nội bộ khác thậm chí từ người quản trị CSDL (DBA) đã tác động tới CSDL như thế nào.
Dễ triển khai thực hiện và đạt hiệu quả cao:
Giải pháp có thể kết hợp với thiết bị cân bằng tải, hỗ trợ nhiều mô hình triển khai hoàn toàn trong suốt như sniffer (tích hợp cổng SPAN của Switch), Inline cho phép dễ dàng triển khai mà không làm thay đổi tới tới mạng và ứng dụng đang hoạt động. Mô hình triển khai giải pháp bảo vệ toàn diện hạ tầng ứng dụng Web của Impeva do VinaAspire cung cấp như sau:
Với giải pháp Imperva do Vina Aspire cung cấp, các tổ chức/doanh nghiệp có thể bảo vệ toàn diện hạ tầng Web từ ứng dụng tới CSDL, triển khai dễ dàng và đạt tối ưu cao nhất cả về hiệu năng và an ninh.
Vina Aspire là nhà cung cấp các giải pháp và dịch vụ CNTT và An ninh mạng, bảo mật, an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty TNHH Vina Aspire theo thông tin sau:
Tel: 84 944 004 666 | Fax: 84 28 3535 0668 | Email: info@vina-aspire.com Website: www.vina-aspire.com
