Theo Cloud Security Alliance, một doanh nghiệp lớn sẽ triển khai trung bình 946 ứng dụng tùy chỉnh. Như truyền thống, các tổ chức đã triển khai tường lửa ứng dụng web (WAF), cung cấp khả năng ngăn chặn rủi ro và thực thi các biện pháp kiểm soát an toàn đối với các lưu lượng đi qua để bảo vệ các ứng dụng khỏi các cuộc tấn công từ internet ở lớp biên.
Tuy nhiên, các ứng dụng được triển khai trên Container được bảo mật bằng WAF có khả năng bị vi phạm vì kiến trúc này không tồn tại khái niệm lớp biên (hay vành đai). Một cách tiếp cận mới là cần giải quyết các mối đe dọa bên ngoài đồng thời với việc giải quyết các mối đe dọa trong quá trình giao tiếp giữa các cụm. Trong một thế giới mà việc khai thác thành công có thể là điều không thể tránh khỏi, việc dựa vào WAF để bảo mật ứng dụng sẽ khiến toàn bộ môi trường dễ bị tấn công hơn trừ khi các chính sách và công cụ bảo mật phù hợp được triển khai ở cấp độ khối lượng công việc.
Bảo mật yếu của WAF
WAF cung cấp các khả năng bổ sung trong các kiến trúc truyền thống của ứng dụng triển khai trên Container. Nó tích cực phân tích các yêu cầu hợp lệ và các mối đe dọa, đồng thời đưa ra cảnh báo khi nhận được các yêu cầu nhật ký đáng ngờ. Những cảnh báo này giữ cho nhóm an ninh thông báo về các mối đe dọa trên biên giới. WAF cũng cung cấp các khả năng vá ảo để ngăn chặn các vectơ tấn công đối với các lỗ hổng đã biết. Hơn nữa, nhiều công ty phải sử dụng WAF thông qua các quy định khác nhau, khiến nó trở nên quan trọng trong việc duy trì tính tuân thủ đối với những ngành cụ thể.
Tuy nhiên, WAF cũng tồn tại những nhược điểm khi triển khai trong mô hình này. Ví dụ: vì WAF nằm trước nên nó yêu cầu việc tạo rule phức tạp gây ra nhiều kết quả false positive đáng kể nếu triển khai không đúng cách. Việc điều chỉnh các cấu hình và bộ rule nhằm giảm thiểu các cảnh báo giả tiêu tốn nhiều tài nguyên của nhóm bảo mật. WAF cũng không thể ngăn chặn các mối đe dọa nội gián, vì những cuộc tấn công này đã vượt qua vòng kiểm soát của WAF và truy cập vào phần còn lại không được bảo vệ của môi trường. Chính vì vậy, nhóm quản lý bảo mật có thể bị đánh lừa rằng hệ thống đã an toàn bằng cách bảo mật vành đai.
Triển khai bảo mật ở cấp độ khối lượng công việc
Như đã đề cập, cách tiếp cận bảo mật dựa trên vành đai không còn hiệu quả nữa. Và, khi nói đến việc bảo vệ khối lượng công việc gốc trên đám mây, WAF với tư cách là cơ chế bảo mật duy nhất không phải là một phương pháp khả thi.
Môi trường đám mây đưa ra một thách thức vì không xác định rõ ràng vành đai để bảo mật. Kiến trúc này được xây dựng dựa trên khối lượng công việc có tính tạm thời, có sự giao tiếp rộng rãi giữa các container khác và các tài nguyên ngoài. Các liên kết này và khả năng mở rộng cao giúp các ứng dụng được đóng gói và triển khai hiệu quả hơn, đồng thời việc xâm nhập và leo thang cũng trở nên dễ dàng hơn nếu không có các biện pháp kiểm soát bảo mật phù hợp.
Để tránh những thiếu sót của WAF đối với kiến trúc dựa trên cloud, các nhóm bảo mật phải có một cách tiếp cận khác hơn – dựa trên khối lượng công việc. Không giống như firewall truyền thống dựa trên ip cố định, các biện pháp kiểm soát bảo mật dựa trên khối lượng công việc áp dụng các chính sách bảo mật dưới dạng code để đảm bảo khả năng bảo vệ một cách nhất quán, sâu và chi tiết trên môi trường đa đám mây và các môi trường kết hợp.
Các biện pháp kiểm soát truy cập này được cung cấp dưới dạng chính sách khai báo, đảm bảo rằng mọi hoạt động đều có mức độ bảo vệ phù hợp bất kể đối với môi trường nào. Phương pháp tiếp cận này cho phép kiểm soát hoạt động trong một kiến trúc để có thể giảm thiểu việc tài sản bị tấn công.
Bảo mật theo hoạt động riêng lẻ cũng có lợi thế hơn ở việc đơn giản hóa quy tắc và giúp giảm gánh nặng cho nhóm bảo mật. Nếu chỉ tập trung cho việc bảo mật lớp biên đồng nghĩa với việc tổ chức bắt buộc phải chuẩn bị để ngăn chặn vô số kiểu tấn công từ nhiều vị trí khác nhau – kể cả các tấn công đã biết và chưa biết. Việc thiết lập các biện pháp kiểm soát an toàn thông tin tại nhiều vị trí (đặc biệt là ở những điểm trọng yếu) khiến cho việc tấn công của hacker trở nên khó khăn hơn. Đây là chiến lược phòng thủ theo chiều sâu, hay còn được biết đến với cái tên ‘phòng thủ theo lớp’.
WAF có là một quyết định đầu tư lãng phí?
Kiến trúc ứng dụng được triển khai theo mô hình Container và các cuộc tấn công vào kiến trúc này ngày càng phức tạp đòi hỏi cách tiếp cận bảo mật mới. Các hệ thống chỉ dựa vào WAF là không đủ và sẽ gặp phải các vấn đề nghiêm trọng, nhưng nó vẫn có vai trò nhất định. Ví dụ: WAF cung cấp khả năng chống lại các tấn công từ chối dịch vụ phân tán (DdoS) hiệu quả. Điều đó nói lên rằng đầu tư vào WAF không lãng phí, nhưng chỉ WAF thì không đủ.
Bằng cách tiếp cận chuyên sâu về bảo mật, các nhóm có thể tận dụng những điểm vượt trội của WAF, đồng thời bổ sung cho những điểm được coi là bất lợi. Việc kết hợp phương pháp tiếp cận theo lớp này với ‘mô hình bảo mật không tin cậy’ sẽ tạo ra một bộ máy bảo mật giúp giảm các thông tin sai lệch, giảm thiểu bề mặt tấn công và tăng hiệu quả trên toàn bộ hệ thống. Đây là giải pháp bền vững nhất sẽ giúp môi trường trong tương lai chống lại các lỗ hổng đã biết và chưa biết để đảm bảo các dịch vụ kinh doanh luôn trực tuyến và an toàn.
Nguồn: https://www.securitymagazine.com/
