MainFooter

Công Ty

Tài Nguyên

Mạng xã hội

Main Navigation

Giám Sát Hiệu Suất Website

Vận Hành Tự Động

Truyền Tải Nội Dung

Bảo Vệ Máy Chủ Gốc

Sản Phẩm

Bảng Giá

Login

Under Attack

SSL là từ viết tắt của Secure Sockets Layer, là giao thức bảo mật tạo ra liên kết được mã hóa giữa máy chủ web và trình duyệt web. SSL đảm bảo tất cả dữ liệu trao đổi giữa máy chủ web và trình duyệt web được an toàn và bảo mật.

large_Thumb LC (1).png

medium_Thumb LC (1).png

small_Thumb LC (1).png

thumbnail_Thumb LC (1).png

Chứng chỉ SSL

Giảm thiểu tấn công DDoS (Distributed Denial-Of-Service) là quá trình bảo vệ mạng hoặc máy chủ bị nhắm mục tiêu khỏi các cuộc tấn công DDoS nguy hiểm.

_Quy trình giảm thiểu tấn công DDoS thường có 4 giai đoạn, bao gồm:_

Giai đoạn 1: Phát hiện

Để phát hiện các cuộc tấn công DDoS, website cần có khả năng phân biệt được lưu lượng truy cập trái phép và lưu lượng truy cập bình thường. Việc phát hiện được sự bất thường trong lưu lượng truy cập có thể báo hiệu một cuộc tấn công DDoS sắp diễn ra. Tính hiệu quả của giai đoạn này được đo lường bởi khả năng nhận biết sự bất thường nhanh hay chậm và đúng hay sai.

Giai đoạn 2: Phản hồi

Phản hồi là giai đoạn mạng hoặc máy chủ chống DDoS loại bỏ các lưu lượng độc hại hoặc chuyển các lưu lượng đó sang tuyến khác. Để thực hiện quá trình đó, cần sử dụng quy tắc WAF để chống lại các tấn công ở tầng ứng dụng (Layer 7) và các bộ lọc khác như khuếch đại bộ nhớ đệm & NTP (Network Time Protocol) để xử lý mối đe dọa ở các tầng thấp hơn tầng ứng dụng (Layer 3 và 4). 

Giai đoạn 3: Định tuyến

Bằng tính năng định tuyến lưu lượng thông minh, giải pháp giảm thiểu DDoS sẽ phân loại lưu lượng thành các phần khác nhau để dễ dàng quản lý và ngăn chặn tấn công DDoS hiệu quả.

Giai đoạn 4: Thích ứng

Khi đã có được dữ liệu từ các cuộc tấn công trước, hệ thống sẽ thu thập và phân tích để cải thiện và nâng cao khả năng bảo mật của mạng đó trong tương lai. Các kỹ thuật phân tích bảo mật nâng cao có thể cung cấp khả năng hiển thị chi tiết về lưu lượng tấn công và hiểu được bản chất của các cuộc tấn công trên.  

## Các yếu tố quan trọng khi lựa chọn dịch vụ giảm thiểu DDoS

Chọn nhà cung cấp dịch vụ giảm thiểu DDoS là giải pháp cần thiết để đối phó với các cuộc tấn công DDoS có quy mô lớn. Sau đây là các yếu tố quan trọng để đánh giá và lựa chọn nhà cung cấp dịch vụ giảm thiểu DDoS mà các doanh nghiệp nên cân nhắc:

_**Khả năng mở rộng**_

Giải pháp được đánh giá là hiệu quả khi cung cấp khả năng mở rộng có thể đáp ứng đồng thời nhu cầu của doanh nghiệp và quy mô ngày càng tăng của các cuộc tấn công DDoS. Do đó, giải pháp có khả năng mở rộng là cần thiết để xử lý hiệu quả các mối đe dọa trên.

_**Khả năng thích ứng:**_

Là giải pháp cho phép tạo ra các mô hình và chính sách giúp thuộc tính website thích ứng với các mối đe dọa mới theo thời gian thực. Khả năng triển khai các quy tắc trang và áp dụng những thay đổi cho toàn bộ website là tính năng quan trọng để giữ cho website luôn trực tuyến trong mọi cuộc tấn công. 

_**Độ tin cậy**_

Tính năng bảo vệ website khỏi DDoS chỉ cần khi đến thời điểm, nhưng khi tấn công xảy ra thì buộc giải pháp đó phải hoạt động hiệu quả. Do đó, độ tin cậy là quan trọng vì nó giúp đảm bảo dịch vụ bảo vệ có tỷ lệ thời gian hoạt động cao và các chuyên gia làm việc 24h để giữ mạng luôn trực tuyến và hỗ trợ kịp thời các mối đe dọa mới. Chính sách dự phòng, chuyển đổi dự phòng và trung tâm dữ liệu mở rộng phải là nền tảng của chiến lược có độ tin cậy cao. 		
		
_**Quy mô cơ sở hạ tầng mạng**_

Các cuộc tấn công DDoS xảy ra với các giao thức và vecto tấn công khác nhau, thay đổi theo thời gian. Do đó, quy mô mạng lớn với khả năng thu thập dữ liệu rộng rãi cho phép nhà cung cấp dịch vụ giảm thiểu DDoS phân tích và ứng phó với các cuộc tấn công một cách nhanh chóng và hiệu quả, ngăn chặn kịp thời các mối đe dọa nguy hiểm với website doanh nghiệp. 

large_giam-thieu-ddos.png

medium_giam-thieu-ddos.png

small_giam-thieu-ddos.png

thumbnail_giam-thieu-ddos.png

Giảm thiểu tấn công DDoS

SNI là phần mở rộng của giao thức TLS (giao thức phát triển dựa trên tiêu chuẩn SSL) và được sử dụng phổ biến trong HTTPS. 


large_sni-la-gi.png

medium_sni-la-gi.png

small_sni-la-gi.png

thumbnail_sni-la-gi.png

SNI là gì?

Bảo mật ứng dụng web là quá trình, công nghệ hoặc giải pháp ngăn chặn các mối đe dọa dựa trên các lỗ hổng bảo mật để bảo vệ website, ứng dụng web và dịch vụ web như API.

large_bao-mat-ung-dung-web.png

medium_bao-mat-ung-dung-web.png

small_bao-mat-ung-dung-web.png

thumbnail_bao-mat-ung-dung-web.png

Bảo mật ứng dụng web

WAF được triển khai dưới dạng các thiết bị phần cứng, phần mềm, kết hợp hoặc trên đám mây. WAF hoạt động với một bộ quy tắc cụ thể được gọi là chính sách.

large_waf-hoat-dong-nhu-the-nao..png

medium_waf-hoat-dong-nhu-the-nao..png

small_waf-hoat-dong-nhu-the-nao..png

thumbnail_waf-hoat-dong-nhu-the-nao..png

WAF hoạt động như thế nào?

Trong kỷ nguyên kỹ thuật số phát triển mạnh mẽ, việc hiểu các mối đe dọa trực tuyến và có các biện pháp bảo mật là điều cấp thiết đối với các tổ chức hiện nay. 

Tường lửa và WAF đóng vai trò quan trọng trong an ninh mạng. Bất kể mô hình mạng nào, cả hai lớp bảo mật này đều phải áp dụng để bảo mật không chỉ cho thông tin người dùng mà kể cả chức năng của ứng dụng web và toàn bộ cơ sở hạ tầng mạng. 

Các doanh nghiệp cần phân biệt giữa tường lửa mạng và WAF để đánh giá đâu là giải pháp tối ưu nhất, để từ đó thiết lập các biện pháp phòng thủ hiệu quả khi bị tấn công mạng. Sau đây hãy bắt đầu với các định nghĩa cơ bản. 

## Tường lửa là gì?
Tường lửa là một hệ thống giám sát lưu lượng truy cập, cho phép hoặc chặn dữ liệu vào và ra dựa trên các quy tắc bảo mật đã được xác định. Tường lửa thiết lập một rào chắn giữa mạng nội bộ (mạng cục bộ hoặc mạng LAN) và mạng bên ngoài (Internet). Mục đích chính là cho phép lưu lượng truy cập từ một mạng được bảo mật và đáng tin cậy đi qua, và chặn lưu lượng truy cập từ mạng trái phép để loại bỏ sự xâm nhập của các phần mềm độc hại, virus và các hoạt động trái phép khác. 

Tường lửa tách “khu vực an toàn” (Khu vực bảo mật cao / Bên trong mạng) khỏi “khu vực kém an toàn” (Khu vực bảo mật thấp / Bên ngoài mạng), đồng thời kiểm soát sự trao đổi giữa hai bên bằng cách xác thực địa chỉ và gói dữ liệu vào/ ra mạng. Không có tường lửa, bất kỳ máy tính nào có địa chỉ IP (Internet Protocol) công khai đều có thể truy cập từ bên ngoài mạng và hoàn toàn dễ bị tấn công. 

## WAF là gì?
WAF là một loại proxy ngược, bảo vệ máy chủ bằng cách cho phép máy khách đi qua WAF trước khi đến máy chủ, do đó WAF giúp phát hiện và ngăn chặn các yêu cầu độc hại trước khi đến người dùng cuối hoặc ứng dụng web. 

WAF giám sát và lọc lưu lượng HTTP/HTTPS giữa ứng dụng web và mạng Internet. WAF thiết lập một rào cản bảo vệ các ứng dụng web khỏi các cuộc tấn công dựa trên ứng dụng, ví dụ như tấn công DDoS, CSRF, XSS, SQL Injection, v.v. WAF có thể ngăn chặn hàng loạt các tấn công độc hại ở layer 7 (tầng ứng dụng) - nơi dữ liệu người dùng có giá trị dễ dàng bị xâm nhập. 

Các doanh nghiệp hiện nay đang dần mở rộng sang mô hình kỹ thuật số, khiến ứng dụng web và API có nguy cơ bị tấn công cao. Vì thế WAF ngày càng đóng vai trò quan trọng trong việc kết hợp với tường lửa xây dựng hệ thống bảo mật toàn diện trước các cuộc tấn công mạng phức tạp khác nhau.


## Tường lửa so với WAF

Sau khi đã hiểu các khái niệm cơ bản của tường lửa và WAF, hãy tìm hiểu sâu hơn sự khác nhau về kỹ thuật và công nghệ của hai loại tường lửa thông qua bảng so sánh dưới đây:






large_tuong-lua-va-tuong-lua-ung-dung-web.png

medium_tuong-lua-va-tuong-lua-ung-dung-web.png

small_tuong-lua-va-tuong-lua-ung-dung-web.png

thumbnail_tuong-lua-va-tuong-lua-ung-dung-web.png

Tường lửa và tường lửa ứng dụng web

Token authentication có thể hiểu là việc Xác thực mã thông báo. Thông qua tính năng này, người dùng có thể thực hiện kiểm soát truy cập

**- Token Authentcation giúp bảo vệ API**  – Ngày nay, hầu hết các ứng dụng là phần mềm máy khách (client software) kết nối đến HTTP dựa trên API qua Internet. Việc bảo vệ các API khỏi các truy cập xấu là rất quan trọng. Chúng ta cần ngăn chặn việc lạm dụng và tải trái phép dữ liệu trên máy chủ API.


**- Token Authentcation hỗ trợ dịch vụ WebSocket** – WebSocket là một giao thức truyền thông máy tính, cung cấp các kênh truyền thông song công đầy đủ (full-duplex) qua một kết nối TCP. Giao thức WebSocket (WebSocket protocol) đã được IETF chuẩn hóa thành RFC 6455 vào năm 2011. API WebSocket trong Web IDL đang được W3C chuẩn hóa. WebSocket là một giao thức khác với HTTP nhưng mang trong lớp HTTP. Nó được sử dụng rộng rãi trong nhiều ứng dụng web cần giao tiếp giữa máy khách/máy chủ theo thời gian thực (real-time) và full-duplex, chẳng hạn như p2p game, bot công nghiệp như điều khiển từ xa bằng máy bay không người lái, v.v. Token authentication có thể được sử dụng để xác thực API hoặc WebSocket request từ user hợp lệ, client hoặc thiết bị di động ở biên (edge). VNIS sẽ lọc ra các request không được xác thực (non-authenticated) hoặc giả mạo và không chuyển chúng đến máy chủ API gốc (origin API server).


**- Các tình huống khác**  – Token authentication có thể được coi là một loại Cơ chế kiểm soát truy cập (Access Control Mechanism). Nó có thể được sử dụng để kiểm soát quyền truy cập vào tài nguyên web của bạn như tài liệu nội bộ, liên kết không thể chia sẻ (non-referable links), đặc biệt là nội dung tĩnh như hình ảnh, PDF, tệp zip, ứng dụng (app), sách điện tử (eBook) và những nội dung có thể tải xuống khác.

**Token authentication** tận dụng các Token để xác minh rằng người dùng có quyền truy cập vào một tài nguyên cụ thể. Token có thể được gửi dưới dạng tham số (parameter) URL hoặc trong tiêu đề (header) HTTP. Dưới đây là ba phương thức Token authentication được sử dụng rộng rãi:

**- Xác thực khóa (Key authentication)** - Một khóa trong tham số chuỗi truy vấn (query string parameter) hoặc tiêu đề (header) giúp xác thực các request. Token của khóa xác thực được tạo từ:


- Một khóa riêng chỉ được chia sẻ giữa VNIS và API hoặc WebSocket.
- Đường dẫn đến WebSocket hoặc API của VNIS WAF sẽ xác thực Token và cho phép truy cập hay không dựa trên kết quả. WAF chỉ cần xác minh xem URL’s key đã ký có giống với khóa của WAF hay không.


**- Xác thực chữ ký HMAC (HMAC authentication)** - Phương pháp này sẽ xác thực chữ ký điện tử được gửi trong Proxy-Ủy quyền (Proxy-Authorization) hoặc Tiêu đề Ủy quyền (Authorization header). Việc triển khai dựa trên bản nháp draft-cavage-http-signatures với lược đồ chữ ký chỉ khác một ít. Token là một HMAC được tạo từ:


- Một khóa riêng chỉ được chia sẻ giữa VNIS và API hoặc WebSocket
- Dấu thời gian (Timestamps) thời đại Unix
- Các tham số bổ sung tùy chọn tiềm năng (ví dụ: địa chỉ IP, giá trị cookie, tên người dùng). VNIS WAF sẽ xác thực Token và cho phép truy cập hay không dựa trên kết quả. HMAC đã tạo cũng có thể được định cấu hình để hết hạn sau một thời gian nhất định (ví dụ: 10 phút) hoặc việc hết hạn được kiểm soát trực tiếp từ máy chủ gốc. Sau đó, các URL được tạo tiếp theo sẽ chỉ bao gồm một Unix timestamp mới.


**- Xác thực JWT -  (JWT authentication)** – Xác minh các request chứa HS256 hoặc RS256 được ký JSON Web Tokens - viết tắt là JWT (theo quy định trong RFC 7519 - một tiêu chuẩn mở). Mỗi API hoặc WebSocket của bạn sẽ có thông tin đăng nhập JWT (khóa công khai và khóa bí mật) cần được sử dụng để ký JWT.

VNIS sẽ ủy quyền request cho các dịch vụ upstream nếu chữ ký của Token được xác minh hoặc hủy request nếu không được xác minh. VNIS cũng có thể thực hiện xác minh đối với một số xác nhận quyền sở hữu đã đăng ký RFC 7519.


- Một khóa riêng được chia sẻ giữa VNIS và API hoặc WebSocket
- Thuật toán: Thuật toán được sử dụng để xác minh chữ ký của Token. Có thể là HS256, HS384, HS512, RS256 hoặc ES256.
- RSA_public_Key: Nếu thuật toán là RS256 hoặc ES256, khóa public (ở định dạng PEM) sẽ được sử dụng để xác minh chữ ký của Token.
- Các tham số bổ sung tùy chọn tiềm năng như payload (ví dụ: địa chỉ IP, giá trị cookie, tên người dùng).

Việc triển khai **Token authentication** có thể được thực hiện qua một số bước. Lấy xác thực JWT làm ví dụ:

```

const jwt_key = "yourjwtkey"
const jwt_secret = "yourjwtsecret"
const jwt_secret = "yourjwtsecret"

var jwt = require('jwt-simple')
var uuid = require('uuid')

function genJWT(user_fields) { 
    var payload = { 
        iat: (new Date().getTime() / 1000), 
        jti: uuid.v4(), 
        iss: jwt_key, 
        user_fields: user_fields 
    } 
    var token = jwt.encode(payload, jwt_secret) 
    return token
    } //end gen jwt

var user_fields = { 
    customer: 'VNIS', 
    }

var token = genJWT(user_fields)
var link = 'yoururl?jwt=' + token;

```

Tính năng xác thực token sẽ sớm có trên VNIS.



**- Tấn công phát lại (Replay attack hoặc playback attack)** – Đây là một hình thức tấn công mạng trong đó việc truyền dữ liệu hợp lệ bị lặp lại hoặc trì hoãn một cách ác ý hoặc gian lận. Sau đây là các biện pháp phòng ngừa và đối phó:
- Nhãn thời gian (Timestamps)
- Mật khẩu một lần (One-time Password)
- Định danh phiên (Session Identifier)
- Xác minh trường người dùng khác - VNIS WAF xác thực Token và cho phép truy cập hay không dựa trên kết quả. WAF chỉ cần xác minh xem URL’s key đã ký có giống với key của WAF hay không.


**- Độ lệch của đồng hồ (Clock skew)** – Xác thực HMAC/JWT giúp kiểm tra độ lệch của đồng hồ như được mô tả trong thông số kỹ thuật, từ đó ngăn chặn các cuộc tấn công phát lại. Theo mặc định, mức độ cho phép độ trễ tối thiểu là 300 giây theo cả hai hướng (quá khứ/tương lai). Mọi request có giá trị ngày cao hơn hoặc thấp hơn sẽ bị từ chối. Server và request client phải được đồng bộ hóa với NTP (Network Time Protocol) và ngày hợp lệ (sử dụng định dạng GMT - Greenwich Mean Time).

Thư viện gồm các tài liệu liên quan đến dịch vụ đám mây

Cybersecurity

Tăng sức mạnh cho trang web của bạn