kiến thức Tường lửa ứng dụng web (WAF) là gì? Lợi ích của WAF cho doanh nghiệp

Hieulx89

Senior Member

Tường lửa ứng dụng web (Web Application Firewall - WAF) là tường lửa giám sát, lọc và chặn các gói dữ liệu khi chúng di chuyển đến và đi từ một trang web hoặc ứng dụng web.
WAF có thể dựa trên mạng, dựa trên máy chủ hoặc dựa trên đám mây và thường được triển khai thông qua reverse proxy và được đặt trước một hoặc nhiều trang web hoặc ứng dụng. Chạy như một thiết bị mạng, plugin máy chủ hoặc dịch vụ đám mây, WAF kiểm tra từng gói và sử dụng cơ sở quy tắc để phân tích logic ứng dụng web Layer 7 và lọc ra lưu lượng truy cập gây hại có thể tạo điều kiện cho việc khai thác web.

Tường lửa ứng dụng web là biện pháp kiểm soát bảo mật phổ biến được các doanh nghiệp sử dụng để bảo vệ hệ thống web chống lại việc khai thác zero-day, nhiễm phần mềm độc hại, mạo danh cũng như các mối đe dọa và lỗ hổng bảo mật đã biết và chưa biết khác. Thông qua kiểm tra tùy chỉnh, WAF có thể phát hiện và ngăn chặn ngay lập tức một số lỗi bảo mật ứng dụng web nguy hiểm nhất mà tường lửa mạng truyền thống và các hệ thống phát hiện xâm nhập khác (IDSes) và hệ thống ngăn chặn xâm nhập (IPSes) có thể không thực hiện được.

WAF đặc biệt hữu ích cho các công ty cung cấp sản phẩm hoặc dịch vụ qua Internet như mua sắm thương mại điện tử, ngân hàng trực tuyến và các tương tác khác giữa khách hàng hoặc đối tác kinh doanh.

WAF hoạt động như thế nào?
WAF phân tích các yêu cầu Hypertext Transfer Protocol (HTTP) và áp dụng một bộ quy tắc xác định phần nào của cuộc hội thoại đó là lành tính và phần nào là độc hại. Các phần chính của hội thoại HTTP mà WAF phân tích là các yêu cầu GET và POST. Yêu cầu GET được sử dụng để truy xuất dữ liệu từ máy chủ và yêu cầu POST được sử dụng để gửi dữ liệu đến máy chủ để thay đổi trạng thái của nó.



WAF có thể thực hiện hai cách tiếp cận để phân tích và lọc nội dung có trong các yêu cầu HTTP này hoặc kết hợp cả hai:

  • Whitelisting (danh sách trắng): Cách tiếp cận danh sách trắng có nghĩa là WAF sẽ từ chối tất cả các yêu cầu theo mặc định và chỉ cho phép các yêu cầu được biết là đáng tin cậy. Nó cung cấp một danh sách các địa chỉ IP được biết là an toàn. Danh sách trắng ít tốn tài nguyên hơn so với danh sách đen. Nhược điểm của cách tiếp cận danh sách trắng là nó có thể vô tình chặn lưu lượng truy cập lành tính. Mặc dù nó tạo ra một mạng lưới rộng và có thể hiệu quả, nhưng nó cũng có thể không chính xác.
  • Blacklisting (danh sách đen): Phương pháp tiếp cận danh sách đen mặc định cho phép các gói tin đi qua và sử dụng chữ ký đặt trước để chặn lưu lượng web độc hại và bảo vệ các lỗ hổng của các trang web hoặc ứng dụng web. Nó là một danh sách các quy tắc chỉ ra các gói độc hại. Danh sách đen thích hợp hơn cho các trang web và ứng dụng web công cộng vì chúng nhận được nhiều lưu lượng truy cập từ các địa chỉ IP không quen thuộc mà không được biết là độc hại hoặc lành tính. Nhược điểm của cách tiếp cận danh sách đen là tốn nhiều tài nguyên hơn; nó yêu cầu nhiều thông tin hơn để lọc các gói dựa trên các đặc điểm cụ thể, trái ngược với việc mặc định là địa chỉ IP đáng tin cậy.
  • Hybrid security (Kết hợp): Mô hình bảo mật kết hợp sử dụng các yếu tố của cả danh sách đen và danh sách trắng.
Bất kể mô hình bảo mật mà WAF sử dụng là gì, nó cuối cùng vẫn hoạt động để phân tích các tương tác HTTP và giảm hoặc lý tưởng nhất là loại bỏ lưu lượng độc hại trước khi đến máy chủ để xử lý.

Tường lửa ứng dụng web (WAF) là gì


Các loại tường lửa ứng dụng web
Network-based WAFs (WAF dựa trên mạng) thường dựa trên phần cứng và có thể giảm độ trễ vì chúng được cài đặt cục bộ tại cơ sở thông qua một thiết bị chuyên dụng, càng gần ứng dụng càng tốt. Hầu hết các nhà cung cấp WAF dựa trên mạng lớn đều cho phép sao chép các quy tắc và cài đặt trên nhiều thiết bị, do đó có thể triển khai, cấu hình và quản lý quy mô lớn. Hạn chế lớn nhất đối với loại sản phẩm WAF này là chi phí - có chi phí vốn trả trước, cũng như chi phí vận hành liên tục để bảo trì.

Host-based WAFs (WAF dựa trên máy chủ) có thể được tích hợp hoàn toàn vào mã ứng dụng. Các lợi ích của việc triển khai WAF dựa trên máy chủ bao gồm chi phí thấp hơn và các tùy chọn tùy chỉnh tăng lên. WAF dựa trên máy chủ có thể là một thách thức để quản lý vì chúng yêu cầu thư viện ứng dụng và phụ thuộc vào tài nguyên máy chủ cục bộ để chạy hiệu quả. Do đó, có thể cần thêm nguồn nhân viên, bao gồm cả nguồn lực của lập trình viên, nhà phân tích hệ thống và DevOps/DevSecOps, có thể được yêu cầu.

Cloud-hosted WAFs (WAF được lưu trữ trên đám mây) cung cấp giải pháp chi phí thấp cho các tổ chức muốn có sản phẩm chìa khóa trao tay yêu cầu tài nguyên tối thiểu để triển khai và quản lý. Cloud WAF dễ triển khai, có sẵn trên cơ sở đăng ký và thường chỉ yêu cầu hệ thống tên miền (DNS) đơn giản hoặc thay đổi proxy để chuyển hướng lưu lượng ứng dụng. Mặc dù có thể khó khăn khi đặt trách nhiệm lọc lưu lượng ứng dụng web của tổ chức với nhà cung cấp bên thứ ba, nhưng chiến lược này cho phép các ứng dụng được bảo vệ trên nhiều vị trí lưu trữ và sử dụng các chính sách tương tự để bảo vệ khỏi các cuộc tấn công lớp ứng dụng. Ngoài ra, các bên thứ ba này có thông tin tình báo về mối đe dọa mới nhất và có thể giúp xác định và chặn các mối đe dọa bảo mật ứng dụng mới nhất.

Lợi ích của tường lửa ứng dụng web
WAF có lợi thế hơn tường lửa truyền thống vì nó cung cấp khả năng hiển thị tốt hơn đối với dữ liệu ứng dụng nhạy cảm được giao tiếp bằng cách sử dụng lớp ứng dụng HTTP. Nó có thể ngăn chặn các cuộc tấn công lớp ứng dụng thường vượt qua tường lửa mạng truyền thống, bao gồm những điều sau:

  • Các cuộc tấn công cross-site scripting (XSS) cho phép kẻ tấn công đưa và thực thi các đoạn mã độc hại trong trình duyệt của người dùng khác.
  • Các cuộc tấn công đưa vào ngôn ngữ truy vấn có cấu trúc (SQL) có thể ảnh hưởng đến bất kỳ ứng dụng nào sử dụng cơ sở dữ liệu SQL và cho phép kẻ tấn công truy cập và có khả năng thay đổi dữ liệu nhạy cảm.
  • Hack phiên web cho phép kẻ tấn công chiếm đoạt ID phiên và giả dạng người dùng được ủy quyền. ID phiên thường được lưu trữ trong cookie hoặc Uniform Resource Locator (URL).
  • Các cuộc tấn công từ chối dịch vụ (DDoS) phân tán áp đảo một mạng bằng cách làm ngập nó với lưu lượng truy cập cho đến khi nó không thể phục vụ người dùng. Cả tường lửa mạng và WAF đều có thể xử lý kiểu tấn công này nhưng tiếp cận nó từ các lớp khác nhau.
Một ưu điểm khác của WAF là nó có thể bảo vệ các ứng dụng dựa trên web mà không nhất thiết phải có quyền truy cập vào mã nguồn của ứng dụng. Trong khi WAF dựa trên máy chủ có thể được tích hợp vào mã ứng dụng, WAF được lưu trữ trên đám mây có khả năng bảo vệ ứng dụng mà không cần có quyền truy cập. Ngoài ra, WAF đám mây rất dễ triển khai và quản lý, đồng thời cung cấp các giải pháp vá lỗi ảo nhanh chóng cho phép người dùng tùy chỉnh nhanh các cài đặt của họ để thích ứng với các mối đe dọa mới được phát hiện.

Tầm quan trọng của tường lửa ứng dụng wep
WAF quan trọng đối với số lượng ngày càng tăng các doanh nghiệp cung cấp sản phẩm qua internet - bao gồm các ngân hàng trực tuyến, nhà cung cấp nền tảng truyền thông xã hội và nhà phát triển ứng dụng di động - vì nó giúp ngăn chặn rò rỉ dữ liệu. Nhiều dữ liệu nhạy cảm, chẳng hạn như dữ liệu thẻ tín dụng và hồ sơ khách hàng, được lưu trữ trong cơ sở dữ liệu back-end có thể truy cập được thông qua các ứng dụng web. Những kẻ tấn công thường nhắm mục tiêu vào các ứng dụng này để giành quyền truy cập vào dữ liệu liên quan.

Ví dụ: các ngân hàng có thể sử dụng WAF để giúp họ đáp ứng Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS), là một bộ chính sách để đảm bảo rằng dữ liệu của chủ thẻ (CHD) được bảo vệ. Cài đặt tường lửa là một trong 12 yêu cầu tuân thủ PCI DSS. Việc tuân thủ này áp dụng cho bất kỳ doanh nghiệp nào xử lý CHD. Vì nhiều công ty mới hơn sử dụng các ứng dụng di động và Internet vạn vật (IoT) ngày càng phát triển, ngày càng có nhiều giao dịch diễn ra ở lớp ứng dụng bằng cách sử dụng web. Vì lý do này, WAF là một phần quan trọng trong mô hình bảo mật của một doanh nghiệp hiện đại.

WAF rất quan trọng, và nó hiệu quả nhất khi kết hợp với các thành phần bảo mật khác, bao gồm IPS, IDS và tường lửa cổ điển hoặc thế hệ tiếp theo (NGFW). Một mô hình bảo mật doanh nghiệp toàn diện lý tưởng sẽ đặt WAF bên cạnh các loại tường lửa khác, chẳng hạn như NGFW và các thành phần bảo mật, chẳng hạn như IPS và IDS, thường được bao gồm trong NGFW.


WAF thương mại và WAF mã nguồn mở
Có cả tùy chọn WAF thương mại và mã nguồn mở. Các nhà cung cấp thương mại phổ biến bao gồm Radware, Citrix, F5 và Cloudflare. Các nhà cung cấp mã nguồn mở phổ biến bao gồm ModSecurity, Naxsi và WebKnight.

WAF và tưởng lửa
T ường lửa là một thuật ngữ rộng cho firmware bảo vệ mạng máy tính bằng cách lọc các gói dữ liệu đến. Trong định nghĩa rộng đó, có một số danh mục được phân biệt theo loại bảo vệ mà chúng cung cấp và cách thức chúng cung cấp. Một số chỉ định đó bao gồm lọc gói, kiểm tra trạng thái, proxy và NGFW.

WAF là một loại tường lửa khác, được phân biệt bằng cách nó lọc các gói dữ liệu cụ thể. WAF là duy nhất vì nó chỉ tập trung vào những kẻ tấn công dựa trên web ở lớp ứng dụng, trong khi các loại khác - chẳng hạn như lọc gói và kiểm tra trạng thái - có thể không thể chống lại các cuộc tấn công này. WAF giống như một tường lửa proxy nhưng tập trung cụ thể vào logic ứng dụng Lớp 7.

Nguồn: https://www.vietsunshine.com.vn/2020/09/14/waf/
 
Top