Tiện dụng hay bảo mật - Tại sao không cả hai?

Việc đáp ứng các tiêu chuẩn như bảo mật hay hiệu suất luôn là yêu cầu tiên quyết để vận hành doanh nghiệp trực tuyến. Tuy nhiên, luôn có một “cuộc chiến ngầm” giữa đơn vị vận hành (ops) và đơn vị bảo mật hệ thống để đạt đích đến cuối cùng là một hệ thống không chỉ truy cập xuyên suốt mà còn an toàn và bảo mật. Thiếu sự tương thích là vấn đề thường gặp ở nhiều doanh nghiệp, tưởng chừng đơn giản nhưng cần cả một phương án dài hạn để giải quyết. Sau đây chúng tôi sẽ phân tích chi tiết về ưu và nhược cùng giải pháp toàn diện cho cốt lõi vấn đề.

Tiện dụng hay bảo mật?

Để một hệ thống trực tuyến được vận hành trơn tru là thành quả của sự đóng góp từ nhiều bên, trong đó chủ đạo phải kể đến đơn vị vận hành và đơn vị bảo mật. Mỗi bên lại có một ưu tiên khác nhau cho hệ thống tuỳ theo chuyên môn của mình.

Ví dụ ưu tiên của đơn vị vận hành là tạo ra một hệ thống ổn định, đồng thời luôn khả dụng (availability), với mục tiêu luôn giữ cho hệ thống uptime 99.999%, tiến đến “five nines” (downtime ít hơn 5,15 phút một năm). Điển hình cho một hệ thống đủ tin cậy giúp các nhà đầu tư và khách hàng hài lòng.

Trong khi đó, với mục tiêu hàng đầu của đơn vị bảo mật là giúp cho hệ thống ngăn chặn bất cứ cuộc tấn công nào và giảm thiểu nguy cơ đến mức tuyệt đối. Đơn vị bảo mật có thể yêu cầu shutdown hệ thống ngay lập tức để thực hiện vá lỗi, mà có thể chưa cân nhắc thiệt hại cho người dùng.

Có thể thấy, với cách tiếp cận như trên, đơn vị vận hành và đơn vị bảo mật phải đánh đổi cho nhau dù ít hay nhiều. Tệ hơn nữa, khi số lượng máy chủ và dịch vụ tăng lên ở quy mô lớn, khi tất cả các dịch vụ đều cần được bảo vệ lẫn giám sát thường xuyên sẽ dễ gây ra khủng hoảng.

Đâu là giải pháp tốt nhất?

Khi đề cập đến việc vá lỗi, thông thường chúng ta sẽ nghĩ đến việc bảo trì theo lịch, ưu điểm là ít gây gián đoạn tức thời và đảm bảo thời gian hoạt động liên tục của dịch vụ online xuyên suốt nhiều tuần, thậm chí là nhiều tháng trước khi đến lần bảo trì tiếp theo.

Nhưng bảo trì theo thời hạn/theo lịch (maintenance window) thường không đủ nhanh và phản ứng kịp thời trước các mối đe dọa mới, vì những lỗ hổng bảo mật này thường bị khai thác rất nhanh, chỉ trong vòng vài phút sau khi bị lộ lọt (hoặc thậm chí từ trước khi được phát hiện, ví dụ: Log4j).

Cho dù là DevOps, DevSecOps, hay bất kỳ ops nào phổ biến hiện nay, bạn đều phải chọn giữa vá nhanh để đáp ứng yêu cầu bảo mật nhưng đánh đổi tính khả dụng hoặc hiệu suất hoạt động, hoặc vá theo lịch và chấp nhận các rủi ro bảo mật.

Nói luôn dễ hơn làm

Quyết định phương án và thời gian cần thiết để vá lỗi mới chỉ mới là bước khởi đầu. Đôi khi, việc vá lỗi không hề đơn giản. Ví dụ: bạn có thể xử lý các lỗ hổng ở cấp độ ngôn ngữ lập trình (language level) - điều này sẽ ảnh hưởng đến các ứng dụng được viết bằng ngôn ngữ đó, chẳng hạn như lỗ hổng CVE- 2022-31626 bằng ngôn ngữ PHP.

Các nhà phát triển cần xử lý lỗ hổng ở cấp độ ngôn ngữ, mà trong đó cách dễ nhất là cập nhật phiên bản mới cho ngôn ngữ. Đi đôi với những cải tiến về bảo mật trong các bản cập nhật là những rắc rối liên quan đến tính tương thích. Đó là lý do tại sao các nhà phát triển cần phải trải qua bước thứ hai: bù đắp cho những thay đổi ở cấp độ ngôn ngữ bằng cách viết lại ứng dụng. Nhưng điều đó có nghĩa là phải thực hiện lại từ đầu các bài test ứng dụng và thậm chí cần phải xin lại giấy phép (certificate).

Cũng giống đơn vị vận hành luôn muốn tránh những khoảng downtime, các nhà phát triển phần mềm cũng luôn tránh phải viết lại hoặc phải thực hiện sửa chữa lớn trên các đoạn mã lập trình bởi tính phức tạp của công việc và khả năng tiêu tốn thời gian khổng lồ.

Đơn giản hoá quy trình

Bạn có thể dễ dàng nhận thấy việc quản lý các bản vá luôn tạo ra xung đột ở nhiều cấp độ khác nhau. Một quy định rõ ràng đầu-cuối (a-z) có thể giải quyết vấn đề một cách cặn kẽ, tuy nhiên cũng có thể khiến cho không ai có thể hài lòng về kết quả sau cùng.

Mặt khác, những chính sách cứng nhắc có thể vô tình tạo ra kẽ hở và khiến cho quá trình vá lỗi lâu hơn cần thiết. Vá lỗi theo lịch trình như hàng tuần và hàng tháng có thể được xem như giải pháp tạm chấp nhận được, tuy nhiên cũng chỉ là giải pháp tình thế cho đến khi một vấn đề bảo mật lớn, cấp bách xuất hiện.

Câu trả lời nằm ở frictionless patching hay vá lỗi không gián đoạn, giảm thiểu đáng kể việc xung đột giữa bản vá tức thời (immediate patching) và bản vá đình trệ (delayed patching). Nhờ có công nghệ bản vá trực tiếp, chúng ta có thể vá lỗi nhanh hơn nhiều so với các cửa sổ bảo trì thông thường và không cần phải khởi động lại dịch vụ để có thể áp dụng bản cập nhật. Vá nhanh chóng và an toàn, cùng với ít hay thậm chí hoàn toàn không downtime. Đây là cách vừa đơn giản và hiệu quả để giải quyết xung đột giữa tính khả dụng và bảo mật.

VNIS - Nền tảng bảo mật Web/ App toàn diện dành cho mọi tổ chức

Để giải quyết vấn đề xung đột trên, VNETWORK đã phát triển và không ngừng nâng cấp VNIS (VNETWORK Internet Security) - Nền tảng bảo mật Website toàn diện ứng dụng công nghệ hiện đại, cung cấp cho các tổ chức giải pháp bảo mật tối ưu như:

- Tường lửa bảo vệ máy chủ gốc Cloud WAF (Web Application Firewall): Cloud WAF của VNIS là một dịch vụ toàn diện và đa dụng, tích hợp hơn 2,000 bộ quy tắc bảo mật kết hợp với khả năng quản lý CRS (Core Rule Set) phức tạp để bảo vệ website của bạn an toàn nhất có thể trước các cuộc tấn công vào tầng ứng dụng, bảo vệ Website khỏi top 10 lỗ hổng bảo mật của OWASP và các hình thức tấn công phổ biến như: XSS, SQL Injection, HTTP Protocol...

Bên cạnh đó, với đội ngũ bảo mật gồm các chuyên gia an ninh mạng của VNIS sẽ giúp theo dõi liên tục để xác định các mối đe dọa tiềm ẩn mới nhất cho Website và ứng dụng của bạn. Sử dụng công nghệ Cloud WAF của VNIS, Web/ App của doanh nghiệp sẽ được bảo mật với 3 ưu điểm vượt trội: Đơn giản hóa, Tích hợp sẵn và Luôn cải tiến.

- Bảo vệ Server Gốc - Origin Shield: Origin Shield là bộ bảo mật phiên bản nâng cao của VNIS, được cài đặt và triển khai dựa trên nhiều CDN (Content Delivery Network) cấp cao nhất, giúp phân phối và giám sát tài liệu kỹ thuật số trên quy mô toàn cầu. Hệ thống Origin Shield của VNIS còn tích hợp nhiều giải pháp Cloud WAF (Multi WAF), giúp kiểm soát toàn bộ các truy cập vào Server gốc và bảo vệ toàn diện cho layer 7 khỏi các tấn công tinh vi qua lỗ hổng Website và ứng dụng (top 10 lỗ hổng hàng đầu của OWASP).

Ngoài ra, Origin Shield của VNIS cũng quản lý và ngăn chặn các Bot xấu và cho phép các Bot hợp lệ request tới Web Server. Origin Shield cũng kết hợp với hệ thống cân bằng tải thông minh (AI Load Balancing) giúp tăng hiệu suất mạng, tối đa hóa khả năng bảo vệ và phục hồi máy chủ gốc.