WAF (Tường lửa ứng dụng Web) là gì? Có ăn được không?

whf

Super Moderator
Thành viên BQT
06/07/2013
797
1.308 bài viết
WAF (Tường lửa ứng dụng Web) là gì? Có ăn được không?
WAF (Web Application Firewall) tạm dịch tiếng Việt là Tường lửa ứng dụng Web được sử dụng như một công cụ bảo mật để giám sát, lọc và chặn các gói dữ liệu đến và đi từ một ứng dụng web hoặc website. WAF thường được triển khai thông qua reverse proxy và được đặt trước một hoặc nhiều ứng dụng web hoặc website.

upload_2021-12-16_0-25-37.png

WAF có thể chạy dưới dạng một thiết bị mạng, plugin hoặc dịch vụ điện toán đám mây, kiểm tra từng và phân tích gói tin lớp ứng dụng (lớp 7 mô hình OSI) theo các quy tắc để lọc ra lưu lượng đáng ngờ hoặc nguy hiểm.

Tầm quan trọng của WAF

WAF ngày càng quan trọng đối với nhiều doanh nghiệp, tổ chức cung cấp sản phẩm hoặc dịch vụ trực tuyến như website thương mại điện tử, tài chính, ngân hàng số. WAF có thể giúp ngăn chặn các cuộc tấn công và đánh cắp dữ liệu, đặc biệt là các dữ liệu nhạy cảm như thông tin khách hàng, thẻ thanh toán

Các tổ chức thường lưu trữ nhiều dữ liệu nhạy cảm trong cơ sở dữ liệu có thể được truy cập thông qua các ứng dụng web. Các doanh nghiệp cũng ngày càng sử dụng nhiều ứng dụng di động và thiết bị IoT để phục vụ kinh doanh, với nhiều giao dịch trực tuyến diễn ra ở lớp ứng dụng. Những kẻ tấn công thường nhắm mục tiêu vào các ứng dụng để tiếp cận và đánh cắp các dữ liệu này.

Sử dụng WAF có thể giúp tổ chức đáp ứng yêu cầu của các chứng chỉ bảo mật như PCI DSS (Payment Card Industry Data Security Standard), áp dụng cho bất kỳ tổ chức nào lưu trữ, truyền tải xử lý dữ liệu thẻ thanh toán và yêu cầu cài đặt tường lửa. Do đó, WAF là một thành phần thiết yếu của mô hình bảo mật của tổ chức.

Bên cạnh WAF, tổ chức cần kết hợp với các giải pháp bảo mật khác, chẳng hạn như hệ thống phát hiện xâm nhập (IDS), hệ thống ngăn chặn xâm nhập (IPS) và tường lửa truyền thống, để đạt được mô hình bảo mật chuyên sâu về phòng thủ.

Các loại tường lửa ứng dụng web (WAF)

  • Network-based WAF: thường dựa trên phần cứng, được cài đặt cục bộ để giảm thiểu độ trễ. Tuy nhiên, đây là loại WAF đắt nhất và yêu cầu phải bảo quản và bảo dưỡng thiết bị vật lý.
  • Host-based WAF: có thể được tích hợp hoàn toàn vào phần mềm của một ứng dụng. WAF dạng này rẻ hơn Network-based WAF và có khả năng tùy chỉnh nhiều hơn, nhưng nó tiêu tốn nhiều tài nguyên máy chủ cục bộ, phức tạp để triển khai. Máy chủ được sử dụng để chạy Host-based WAF thường phải được tùy chỉnh lại và hardening để tăng cường bảo mật, điều này có thể mất thời gian và tốn kém.
  • Cloud-based WAF: thường được cung cấp dưới dạng một giải pháp, dễ dàng triển khai, người dùng trả phí sử dụng dịch vụ theo tháng hoặc hàng năm. Cloud-based WAF có thể được cập nhật thường xuyên mà không mất thêm phí. Tuy nhiên, do phải dựa vào bên thứ ba để quản lý WAF của mình, tổ chức nên lựa chọn đơn vị cung cấp cloud-based WAF tốt và có thể tùy chỉnh để phù hợp với mô hình thực tế của tổ chức.

Công nghệ WAF

WAF chặn và kiểm tra mọi HTTP request. Những traffic truy cập bất hợp pháp có thể được kiểm tra bằng nhiều kỹ thuật khác nhau, chẳng hạn như lấy device fingerprinting, đưa ra các thử thách CAPTCHA và nếu chúng có vẻ không hợp pháp, chúng có thể bị chặn.

WAF thường được tích hợp sẵn các rule để có thể phát hiện và chặn nhiều kiểu tấn công khác nhau như SQL Injection, Cross-site scripting, Remote Code Execution… những rule này thường bao gồm top lỗ hổng bảo mật website phổ biến theo chuẩn OWASP (Open Web Application Security Project).

Ngoài ra, tùy vào logic nghiệp vụ đặc trưng của các ứng dụng riêng, mỗi tổ chức có thể xác định các rule tùy chỉnh và chính sách bảo mật cho phù hợp. Để thực hiện yêu cầu người vận hành có chuyên môn để cấu hình và tùy chỉnh WAF.

Mô hình bảo mật của WAF
  • Mô hình Positive: sử dụng whitelist để định nghĩa các traffic hợp lệ được phép đi qua, nếu nằm ngoài danh sách này sẽ bị chặn. Ưu điểm của mô hình này là nó có thể chặn các cuộc tấn công mới hoặc chưa biết mà nhà phát triển WAF không lường trước được.
  • Mô hình Negative: sử dụng blacklist để chặn các traffic không hợp lệ, nếu nằm ngoài danh sách traffic sẽ được đi qua. Mô hình này dễ thực hiện hơn nhưng nó có thể để lọt các cuộc tấn công không lường trước. Nó cũng yêu cầu duy trì một danh sách dài các signature phải cập nhật thường xuyên và mức độ bảo mật phụ thuộc vào danh sách hạn chế được triển khai.
Tham khảo:
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whiteLMK
Bên trên