WAF không còn đủ nữa: Khám phá bốn trụ cột bảo mật web cho AWS

Trong bối cảnh kỹ thuật số ngày nay, bảo mật web là vô cùng quan trọng đối với các doanh nghiệp dựa vào các ứng dụng web để phục vụ khách hàng và tạo doanh thu.

Tường lửa ứng dụng web (WAF) từ lâu đã là giải pháp bảo mật chính để bảo vệ các ứng dụng web khỏi các cuộc tấn công nguy hiểm. Tuy nhiên, bối cảnh mối đe dọa đang phát triển ngày nay đòi hỏi một cách tiếp cận toàn diện hơn. Mặc dù WAF vượt trội trong việc kiểm tra và lọc các yêu cầu HTTP thù địch, nhưng chúng có thể không hiệu quả trước các cuộc tấn công có mục tiêu và tinh vi hơn. Để đảm bảo an ninh web đầy đủ, cần có các biện pháp bổ sung để bổ sung cho các khả năng của WAF.

Trong bài viết này, chúng tôi thảo luận về bốn trụ cột của bảo mật web mạnh mẽ, ngoài WAF để bao gồm Bảo vệ DDoS, Bảo mật API và Quản lý Bot. Chúng tôi khám phá những điểm mạnh và điểm yếu của từng chiến lược, điều này sẽ chứng minh lý do tại sao một chiến lược mạnh mẽ bao gồm cả bốn.

Tổng quan nội dung

• Sử dụng AWS làm ví dụ
• Trụ cột 1: Tường lửa ứng dụng web (WAF)
• Trụ cột 2: Chống DDoS
• Trụ cột 3: Bảo mật API
• Trụ cột 4: Quản lý Bot

Sử dụng AWS làm ví dụ

Để minh họa các khái niệm trong bài viết này, chúng tôi sẽ tập trung vào các tổ chức sử dụng Dịch vụ web của Amazon (AWS) , mặc dù các khái niệm tương tự cũng áp dụng cho Google đám mây Và Microsoft Azure .

Trụ cột 1: Tường lửa ứng dụng web (WAF)

Tại sao nó quan trọng: Như đã lưu ý ở trên, WAF là một thành phần quan trọng của bảo mật web, được thiết kế để kiểm tra và lọc lưu lượng HTTP/HTTPS nhằm xác định và chặn các yêu cầu độc hại. WAF đóng một vai trò quan trọng trong việc bảo vệ chống lại các cuộc tấn công ứng dụng web phổ biến, chẳng hạn như SQL injection và cross-site scripting (XSS).

Tính khả dụng trên AWS: Amazon cung cấp dịch vụ WAF gốc (AWS WAF), cho phép các tổ chức tạo các quy tắc và chính sách tùy chỉnh cho bảo mật lớp ứng dụng. Nhiều WAF của bên thứ ba cũng có thể được sử dụng để lọc các yêu cầu đến đối với khối lượng công việc AWS; một vài trong số này thậm chí có thể chạy tự nhiên trong môi trường AWS.

Tại sao vẫn chưa đủ: Mặc dù AWS WAF cung cấp nền tảng vững chắc cho bảo mật ứng dụng web, nhưng nó vẫn có một số hạn chế nhất định. Đầu tiên, nó chủ yếu tập trung vào các kiểu tấn công đã biết, có nghĩa là nó có thể không hiệu quả trước các cuộc tấn công zero-day hoặc các mối đe dọa mới nổi. Thứ hai, WAF được thiết kế để xác định các mối đe dọa dựa trên các yêu cầu thù địch, nhưng nhiều kiểu tấn công dựa trên các yêu cầu có vẻ lành tính. Thứ ba, giống như nhiều WAF, AWS WAF yêu cầu người dùng tạo và duy trì các chính sách và bộ quy tắc bảo mật của riêng họ, đây có thể là một thách thức.

Giải quyết các hạn chế của nó: Các tổ chức nên xem xét tăng cường AWS WAF bằng các biện pháp bảo mật bổ sung (bên cạnh các trụ cột khác được mô tả bên dưới). Một số WAF của bên thứ ba tích hợp nguồn cấp thông tin tình báo về mối đe dọa có thể cung cấp dữ liệu về mối đe dọa theo thời gian thực và cơ chế phòng thủ chủ động. Điều này cho phép các tổ chức vượt qua các mối đe dọa mới nổi và tăng cường khả năng phòng thủ của họ trước các vectơ tấn công đang phát triển.

Hơn nữa, việc triển khai các thuật toán học máy và phân tích hành vi nâng cao có thể nâng cao khả năng WAF bằng cách phát hiện các điểm bất thường và xác định các kiểu tấn công mới. Bằng cách tận dụng những công nghệ này, các tổ chức có thể cải thiện độ chính xác và hiệu quả của WAF, từ đó củng cố bảo mật ứng dụng web tổng thể của họ.

Cuối cùng, một số WAF của bên thứ ba có sẵn dưới dạng giải pháp tường lửa ứng dụng web được quản lý hoàn toàn. Điều này làm giảm trách nhiệm của các tổ chức khách hàng trong việc tạo và duy trì các chính sách bảo mật của riêng họ (đòi hỏi thời gian và chuyên môn đáng kể) vì nhà cung cấp làm việc đó cho họ.

Trụ cột 2: Chống DDoS

Tại sao điều này lại quan trọng: __Các cuộc tấn công từ chối dịch vụ (DDoS) phân tán __gây ra mối đe dọa đáng kể cho các ứng dụng web, với khả năng áp đảo các máy chủ và làm gián đoạn tính khả dụng của dịch vụ. DDoS tống tiền là một chiến thuật phổ biến của tin tặc và có thể đặc biệt hiệu quả (đối với kẻ tấn công) trong thời gian mà nạn nhân thường nhận được lưu lượng truy cập và doanh thu cao.

Tính khả dụng trên AWS: AWS cung cấp tính năng bảo vệ DDoS tích hợp thông qua AWS Shield, bảo vệ chống lại hầu hết các cuộc tấn công quy mô lớn và phổ biến.

Tại sao nó không đủ: AWS Shield Standard miễn phí, nhưng nó không cung cấp khả năng bảo vệ đầy đủ chống lại DDoS (ví dụ: nó không bảo vệ chống lại các cuộc tấn công lớp 7). Thay vào đó, hầu hết các tổ chức sẽ cần mua AWS Shield Advanced, nhưng dịch vụ này có thể tốn kém (với mức phí cơ bản là 3.000 USD mỗi tháng cộng với phí dữ liệu và cam kết một năm). Ngay cả khi đó, nó vẫn gặp sự cố khi bảo vệ API và ngoại trừ các khu vực được lưu trữ trên AWS Route 53, AWS Shield không bảo vệ tài nguyên trong các triển khai kết hợp/đa đám mây.

Cuối cùng, AWS Shield nhằm giảm thiểu các cuộc tấn công thể tích đơn giản. Nó không được thiết kế để chống lại các chiến thuật tinh vi hơn như tấn công DDoS yo-yo, được thiết kế để gây thiệt hại tài chính tối đa cho nạn nhân trong khi giảm thiểu tài nguyên mà kẻ tấn công sử dụng.

Giải quyết các hạn chế của nó: Các tổ chức có thể xem xét tăng cường hoặc thay thế AWS Shield bằng giải pháp giảm thiểu DDoS tận dụng các thuật toán phát hiện nâng cao và phân tích lưu lượng. Các giải pháp này cung cấp khả năng giám sát và giảm thiểu theo thời gian thực, cho phép chủ động xác định và vô hiệu hóa các mối đe dọa DDoS đang phát triển. Chúng thường có cấu trúc chi phí thấp hơn (đặc biệt là các giải pháp tất cả trong một bao gồm bảo vệ DDoS như một phần của nền tảng toàn diện) và hầu hết sẽ hỗ trợ kiến trúc kết hợp và đa đám mây.

Ngoài ra, như đã thảo luận ở trên, một giải pháp được quản lý hoàn toàn có thể hữu ích trong việc đánh bại các cuộc tấn công tinh vi như yo-yo do con người dàn dựng, cạn kiệt tài nguyên (một chiến thuật có thể được sử dụng để chống lại serverless) và các chiến lược khác, bởi vì nhóm bảo mật của nhà cung cấp sẽ giám sát và ứng phó với các sự cố khi chúng xảy ra.

Trụ cột 3: Bảo mật API

Tại sao nó quan trọng: API đã trở thành một thành phần quan trọng để tích hợp và trao đổi dữ liệu liền mạch vì nhiều lý do, bao gồm sự phổ biến của điện toán đám mây, sự phổ biến của kiến trúc vi dịch vụ, số lượng ứng dụng di động ngày càng tăng và các lý do khác. Khi lưu lượng truy cập API tăng lên, việc bảo mật API chống lại hoạt động thù địch trở nên cực kỳ quan trọng.

Tính khả dụng trên AWS: AWS cung cấp các dịch vụ như AWS Identity and Access Management (IAM) và Amazon API Gateway. IAM cho phép các tổ chức quản lý quyền truy cập vào tài nguyên AWS, trong khi API Gateway cung cấp khả năng xác thực, ủy quyền và quản lý lưu lượng.

Tại sao vẫn chưa đủ : Để bảo vệ API của họ, người dùng AWS nên sử dụng AWS WAF cùng với API Gateway. Điều này có nghĩa là các hạn chế của AWS WAF cũng áp dụng cho bảo mật API. Trên thực tế, thực sự có nhiều hạn chế hơn khi được sử dụng trong ngữ cảnh này. Ví dụ: trong một số trường hợp nhất định, AWS WAF sử dụng các thử thách trình duyệt và CAPTCHA để xác minh các yêu cầu gửi đến, nhưng không thể áp dụng các yêu cầu này cho lưu lượng API.

Giải quyết các hạn chế của nó: Người dùng AWS có thể tăng cường khả năng bảo mật gốc của AWS bằng các công cụ khác. Một số giải pháp bảo mật của bên thứ ba bao gồm các tính năng mở rộng để bảo vệ lưu lượng truy cập API với hiệu quả ngang bằng với lưu lượng truy cập ứng dụng web, không chỉ để lọc các yêu cầu thù địch mà còn ở các khả năng liên quan như kiểm soát truy cập chi tiết và khả năng hiển thị và ghi nhật ký lưu lượng truy cập toàn diện. Một số thậm chí còn tiến xa hơn và tận dụng các cơ hội để bảo vệ bổ sung trong một số trường hợp nhất định, ví dụ: bằng cách cung cấp SDK để bổ sung thêm độ cứng cho lưu lượng truy cập ứng dụng dành cho thiết bị di động.

Trụ cột 4: Quản lý Bot

Tại sao nó quan trọng: Sự phổ biến của các bot trên web là một thách thức đáng kể đối với các tổ chức. Mặc dù một số bot phục vụ các mục đích hợp pháp, nhưng các bot khác được triển khai cho các hoạt động độc hại như chiếm đoạt tài khoản, thu thập nội dung và nhồi nhét thông tin xác thực. Trung bình, khoảng 38 phần trăm tổng lưu lượng truy cập web bao gồm các bot thù địch.

Các công nghệ bảo mật web truyền thống như WAF không được thiết kế để phát hiện các bot thù địch, vì hầu hết các dạng lưu lượng truy cập tự động đều giả dạng người dùng hợp pháp. Thông thường, các yêu cầu riêng lẻ có vẻ lành tính (và do đó, tránh bị lọc). Mục tiêu độc hại của họ chỉ được thể hiện trong các hành động tập thể của họ. Ví dụ: bot từ chối hàng tồn kho có vẻ là khách hàng hợp pháp thực hiện các hoạt động mua sắm; tuy nhiên, những “khách hàng” này không bao giờ thực sự mua bất cứ thứ gì. Thay vào đó, họ thực hiện các hành động khiến hàng tồn kho không có sẵn cho khách hàng hợp pháp (chẳng hạn như đặt các mặt hàng vào giỏ hàng, hoàn thành các bước ban đầu của đặt chỗ du lịch, v.v., nhưng không bao giờ hoàn tất các giao dịch).

Tính khả dụng trên AWS: Amazon cung cấp AWS WAF Bot Control, một bộ quy tắc được quản lý dành cho AWS WAF.

Tại sao nó không đủ : Là một tiện ích bổ sung cho AWS WAF, Kiểm soát bot bao gồm các hạn chế tương tự như đã đề cập ở trên. Tuy nhiên, những vấn đề này được phóng đại khi cố gắng loại trừ các bot thù địch khỏi các ứng dụng web và API, bởi vì, trong số tất cả các hình thức tấn công web, những hình thức phức tạp và tinh vi nhất thường do bot tiến hành. Ví dụ: khả năng giới hạn tốc độ của AWS thiếu độ chính xác khiến việc chặn hoàn toàn các bot đang thực hiện hành vi nhồi thông tin xác thực và các hình thức tấn công ATO (chiếm đoạt tài khoản) khác trở nên khó khăn. Khả năng hiển thị lưu lượng truy cập không đầy đủ hoặc bị trì hoãn có thể cản trở khách hàng hiểu đầy đủ về hoạt động của bot trong các thuộc tính web của họ hoặc cản trở việc tinh chỉnh các chính sách bảo mật để giảm cảnh báo Âm tính giả và Dương tính giả. Phải viết và duy trì các chính sách bảo mật phức tạp làm tăng khả năng xảy ra lỗi. Và như thế.

Tiếp theo, sử dụng Kiểm soát Bot sẽ tạo thêm phí sử dụng. Khi kết hợp với chi phí của AWS WAF, AWS Shield Advanced, AWS API Gateway, v.v., khách hàng có thể phải trả phí hàng tháng khá cao.

Cuối cùng, tầng AWS Bot Control cơ bản (“Chung”) dựa vào các phương pháp đơn giản để xác định lưu lượng bot (chủ yếu là Tác nhân người dùng của yêu cầu và địa chỉ IP có nằm trong danh sách đen hay không). Các tác nhân đe dọa có thể dễ dàng tránh bị phát hiện dựa trên các tiêu chí này. Để có được khả năng phát hiện bot tốt hơn, các tổ chức khách hàng phải mua cấp cao nhất ("Bot được nhắm mục tiêu"), mức này thậm chí còn cao hơn (nhưng vẫn có thể gặp khó khăn trong việc xác định thế hệ bot lẩn tránh mới nhất).

Giải quyết các hạn chế của nó: Nói chung, giảm thiểu bot thù địch có thể là khía cạnh thách thức nhất trong việc duy trì tình trạng bảo mật mạnh mẽ. Như vậy, trong số bốn trụ cột được thảo luận trong bài viết này, đây là trụ cột quan trọng nhất trong việc khắc phục những hạn chế cố hữu của các công cụ gốc của AWS.

Nhiều giải pháp bảo mật web của bên thứ ba bao gồm khả năng quản lý bot vượt trội so với Amazon Web Services. Điều này không có gì đáng ngạc nhiên; AWS kinh doanh bán quyền truy cập vào tài nguyên đám mây và cung cấp các công cụ bảo mật chỉ để khuyến khích việc sử dụng các tài nguyên đó. Ngược lại, các nhà cung cấp bảo mật web đang kinh doanh trong việc tạo ra các giải pháp bảo mật mạnh mẽ, hiệu quả.

Khi đánh giá các giải pháp WAAP (ứng dụng web và bảo vệ API) về mặt quản lý bot, những cân nhắc chính là những vấn đề đã được thảo luận ở trên. Tốt nhất giải pháp quản lý bot sẽ cho phép khách hàng xác định chính xác các chính sách bảo mật, xem và kiểm soát lưu lượng truy cập của họ trong thời gian thực với khả năng hiển thị đầy đủ và tận dụng các công nghệ mạnh mẽ như máy học và phân tích hành vi.

Ngoài ra, nhiều tổ chức sẽ yêu cầu tùy chọn quản lý đầy đủ để họ có thể đặt cấu hình và duy trì hệ thống phòng thủ an ninh mạng của mình bởi một nhóm chuyên gia bảo mật, thay vì yêu cầu nhân viên nội bộ thực hiện vai trò này.

Phần kết luận

Mặc dù Tường lửa ứng dụng web là một thành phần quan trọng của bảo mật web, nhưng chỉ dựa vào WAF là không còn đủ trong bối cảnh mối đe dọa ngày nay. Bằng cách áp dụng bốn trụ cột của bảo mật web–WAF, Bảo vệ DDoS, Bảo mật API và Quản lý Bot–người dùng AWS có thể thiết lập hệ thống phòng thủ mạnh mẽ và nhiều lớp chống lại nhiều mối đe dọa.

\Mặc dù AWS cung cấp một số công cụ bảo mật tích hợp, nhưng điều quan trọng là phải hiểu các hạn chế của chúng và bổ sung cho chúng các biện pháp bảo mật bên ngoài phù hợp với các mối đe dọa cụ thể. Bằng cách áp dụng phương pháp tiếp cận toàn diện này, các tổ chức có thể bảo vệ hiệu quả các ứng dụng web và API AWS của họ, đồng thời giảm thiểu rủi ro trong môi trường đe dọa hiện đại.