Chỉ như vậy thôi chưa đủ, những kẻ tấn công thường am hiểu về bảo mật. chúng có những cách thức tấn công rất tinh vi nhằm vào một mục đích cụ thể. Cho dù chúng sử dụng cách nào đi nữa, công việc của những nhà quản trị, những người vận hành hệ thống hãy thiệt lập các cơ chế bảo mật để hệ thống được hoạt động an toàn và hiệu quả.
Cách bảo mật website hiệu quả? Làm thế nào để bảo mật website tốt nhất?
Những điều tôi khuyên dưới đây được sắp xếp theo thứ tự ưu tiên từ cao xuống thấp, đó cũng là kinh nghiệm của tôi muốn chia sẻ tới các bạn.
Lời khuyên 1: Hãy trang bị kiến thức tốt về bảo mật.
Đây là điều quan trọng nhất, đó là điều tôi thường xuyên tư vấn cho KH. Chỉ có thể hiểu về bảo mật bạn mới tạo ra được những chính sách bảo mật (policy) chặt chẽ cho server hay hệ thống của bạn.
Lời khuyên 2: Hãy tuân thủ các chính sách bảo mật đặt ra.
Khi đã lên được chính sách bảo mật cho hệ thống, cho dù bạn phải đi lòng vòng mới có thể đăng nhập vào server hay Control Panel website thì hãy xem như làm khó kẻ tấn công một chút :).
Lời khuyên 3: Thiết kế mô hình hệ thống website an toàn
Mô hình hệ thống website như thế nào là an toàn? Theo tôi, chúng phải đạt tối thiểu những tiêu chí sau:
Server phục vụ website không được kết nối trực tiếp ra Internet,
Nếu Server phục vụ web phải kết nối trực tiếp với Internet thì phải đảm bảo server dịch vụ chỉ phục vụ cho những Client mà đã qua quá trình TCP bắt tay 3 bước (three handshake). Điều này sẽ tránh tối thiểu các cuộc tấn công DDoS dựa vào quá trính bắt tay 3 bước không thành công như dạng tấn công SYN flood.
Hệ thống server Proxy/Firewall bảo vệ các server dịch vụ, tự động chặn các luồng truy cập không rõ danh tính, hoặc có tỷ lệ truy xuất quá lớn.
Có thể chặn truy cập theo IP, dải IP.
Hệ thống Logging kiểm soát kết nối, ghi lại thông tin IP truy cập,..
Hệ thống theo dõi monitoring các bất thường xảy ra trên hệ thống, như có xâm phạm trái phép, tải tài nguyên CPU, RAM, IOPS của ổ cứng cao bất thường.
Ví dụ thiết kế một mô hình hệ thống website an toàn như sau:
Ở đây các server phục vụ (Nginx server) không kết nối trực tiếp ra Internet mà phải qua một hệ thống Proxy/Firewall, các yêu cầu truy cập sẽ được lọc qua đây. Chỉ những yêu cầu HTTP hợp lệ mới được truy xuất vào các server phục vụ.
Lời khuyên 4: Vá lỗ hổng bảo mật ngay khi có lỗ hổng nghiêm trọng được công bố.
Lỗ hổng thư viện SSL là một ví dụ, như bạn biết lỗ hổng SSL thường xuyên được các Hacker nhóm ngó là vì tính ưu việt của nó. SSL/TLS là phương thức truyền tin có mã hóa tốt nhất hiện nay, được sử dụng nhiều trong các giao dịch quan trọng như ngân hàng, giao dịch thương mại điện tử, quốc phòng an ninh,..
Lời khuyên của tôi là hãy biết những gì bạn đang sử dụng trên hệ thống, bạn đang cài đặt những gì, rồi cập nhật tin tức thường xuyên về lỗ hổng được công bố trên Internet, cập nhật chúng từ những chuyên gia an ninh mạng trên thế giới.
Thường khi các chuyên gia công bố lỗ hổng sẽ có bán vá lỗi đi kèm, nếu chưa có bản vá thì bạn hãy tìm hiểu rõ về cách thức mà kẻ tấn công đã khai thác để từ đó rào chính sách bảo mật kỹ hơn, đảm bảo hệ thống của bạn vẫn an toàn cho tới khi có bản vá từ các chuyên gia.
Kết luận:
Trên đây là chia sẻ ngắn gọn tổng quan để tạo ra một hệ thống website an toàn. Tức nhiên sẽ không nói đây là giải pháp tốt nhất ngăn chặn được toàn bộ cuộc tấn công cho dù tinh vi tới cỡ nào. Nhưng nếu bạn thiết lập được những mô hình như vậy, kèm với chính sách bảo mật giám sát chặt chẽ bạn hoàn toàn yên tâm về hệ thống bạn đang vận hành.
Theo Tabatech
