Bảo mật website: lợi ích & thiệt hại, bạn dựa trên các căn cứ nào để triển khai?

Mỗi khi chúng ta đi ra khỏi nhà, chúng ta khóa cửa. Lý do là vì:

  • Không phải ai cũng là người tốt, kẻ xấu có thể sẽ vào và trộm đồ hoặc có hành vi phá hoại khác;
  • Ngay cả người tốt cũng có thể biến thành kẻ xấu nếu họ nhận thấy nguy cơ bị buộc tội là rất thấp.

Đi máy bay là trải nghiệm rất rõ ràng về tính an toàn:

  • Bạn phải cung cấp giấy tờ tùy thân rõ mặt để xác định danh tính;
  • Bạn phải để đồ quét qua máy an ninh để ngăn hành khách mang các đồ vật nguy hiểm cho an toàn bay;
  • Bạn phải cởi giày & các thiết bị kim loại trên người để kiểm tra;
  • Có các máy quay ghi hình các hoạt động của bạn.

Bảo mật website cũng như vậy, lưu lượng truy cập trên Internet có thể không an toàn.

Bảo mật website về cơ bản làm những điều sau:

  • Xác định các yếu tố nguy cơ cao có thể bị tấn công;
  • Cố gắng xác định các loại “vũ khí” mà kẻ tấn công thường mang;
  • Cố gắng xác định danh tính của kẻ tấn công;
  • Chặn, loại bỏ lưu lượng tấn công dựa trên thông tin trên;
  • Liên tục theo dõi hành vi trên website để lưu trữ & sử dụng lại thông tin đó khi cần thiết.

Giống như sân bay cần nhân viên an ninh, website cần tường lửa (firewall) hay proxy ngược (reverse proxy) để bảo vệ website. Tất cả lưu lượng truy cập sẽ phải qua lá chắn bảo vệ này trước khi đến được máy chủ gốc, cả lưu lượng vào & ra, đặc biệt là lưu lượng vào.

Thiệt hại của bảo mật

Ở trên chúng ta đã nói đến lợi ích, vậy thiệt hại của bảo mật là gì?

Chúng bao gồm những yếu tố cơ bản sau:

  • Bạn tốn thêm chi phí: ví dụ chi phí mua các ứng dụng, phần mềm bảo mật chất lượng cao. Tương tự như sân bay phải thuê nhân viên an ninh & mua thiết bị kiểm tra tự động;
  • Tốc độ website chậm đi ít nhiều: các truy cập vào ra phải tốn thời gian kiểm tra trước khi tiếp xúc với kết nối internet bên ngoài, do vậy tốc độ sẽ chậm đi, đặc biệt là khi website có lưu lượng truy cập lớn. Điều này giống như hàng dài người cần phải đợi để kiểm tra an ninh khi đi máy bay vào dịp lễ hội, giáp tết nguyên đán;
  • Chặn nhầm: một ứng dụng bảo mật dù tốt đến đâu cũng không đảm bảo chắc chắn chặn chính xác 100%. Có hai mặt của chặn nhầm, một là họ chặn lưu lượng truy cập lành mạnh, hai là họ không phát hiện được truy cập không lành mạnh.

Cân bằng lợi ích

Khi bạn đi xe bus, các kiểm tra an ninh rất đơn giản, chủ yếu là thông qua người soát vé. Nhưng khi đi máy bay tình hình lại khác. Nguyên nhân là vì rủi ro nếu xảy ra khi đi máy bay cao hơn nhiều khi đi xe bus.

Đối với website cũng vậy, nếu nó có rủi ro cao bạn mới cần thiết lập bảo mật cao tương ứng, nếu nó có rủi ro thấp bạn chỉ cần thiết lập bảo mật ở mức cơ bản để tiết kiệm chi phí cũng như thời gian giao tiếp giữa máy khách & máy chủ web.