TCVN 14107:2024 về tường lửa ứng dụng web

Trong điện toán, tường lửa hay firewall là một hệ thống bảo mật mạng giám sát và kiểm soát lưu lượng mạng đến và đi dựa trên các quy tắc bảo mật được xác định trước. Một tường lửa thường thiết lập một rào cản giữa một mạng nội bộ đáng tin cậy và mạng bên ngoài không tin cậy, chẳng hạn như Internet.

Có thể hiểu rõ hơn tường lửa là một bức rào chắn bảo vệ mạng máy tính của một quốc gia, một tổ chức, cơ quan hay một doanh nghiệp tránh được hàng loạt các vụ tấn công mạng xuất hiện ngày càng nhiều trên mạng Internet, các truy cập dữ liệu trái phép cũng như ngăn chặn các trang web cung cấp thông tin xấu, phản động, đồi trụy. 

Tuy nhiên nếu sử dụng phần mềm tường lửa không cao cấp, chuyên nghiệp, quản trị viên cấu hình không chặt chẽ, cập nhật thường xuyên thì hacker vẫn có khả năng tấn công để vượt qua tường lửa mà lấy cắp thông tin dữ liệu của tổ chức, công ty, cá nhân. Do đó, khi thiết kế và xây dựng tường lửa nên đáp ứng các yêu cầu kỹ thuật an toàn khi sử dụng wed theo tiêu chuẩn.

Căn cứ tại Tiêu chuẩn quốc gia TCVN 14107:2024 Công nghệ thông tin- Các yêu cầu kỹ thuật an toàn- Hồ sơ bảo vệ cho sản phẩm tường lửa ứng dụng web do Cục An toàn thông tin biên soạn, Bộ Thông tin và Truyền thông đề nghị, Ủy ban Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố, hồ sơ bảo vệ cho sản phẩm tường lửa ứng dụng web, thể hiện các yêu cầu chức năng an toàn (SFR) và yêu cầu đảm bảo an toàn (SAR) đối với sản phẩm tường lửa ứng dụng web.

Tiêu chuẩn này áp dụng vào quá trình đánh giá an toàn thông tin đối với sản phẩm tường lửa ứng dụng web theo các tiêu chí đánh giá được quy định trong TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), TCVN 8709-2:2011 (ISO/IEC 15408-2:2008) và TCVN 8709-3:2011 (ISO/IEC 15408-3:2008).

Tường lửa đóng vai trò quan trọng giúp bảo mật thông tin trước các cuộc tấn cộng mạng. Ảnh minh họa

Theo đó tường lửa ứng dụng web hoặc WAF (gọi là “TOE”) được sử dụng để bảo vệ máy chủ web và ứng dụng web bằng cách phát hiện và ngăn chặn một cuộc tấn công thông qua việc xác định tính bình thường của yêu cầu người dùng. Chức năng chính của TOE là phát hiện và chặn luồng lưu lượng truy cập web độc hại vào máy chủ web và ứng dụng web theo chính sách an toàn.

TOE được sử dụng cho mục đích phát hiện và ngăn chặn luồng lưu lượng truy cập web vào máy chủ web và ứng dụng web vi phạm các chính sách an toàn do quản trị viên được ủy quyền thiết lập. TOE cung cấp chức năng phát hiện lưu lượng độc hại và ngăn chặn bằng cách so sánh lưu lượng truy cập web và luồng nội dung gói theo từng URL.

TOE cung cấp chức năng kiểm toán an toàn ghi lại các sự kiện chính dưới dạng dữ liệu kiểm toán khi chức năng an toàn và chức năng quản lý được vận hành; chức năng định danh và xác thực như xác minh danh tính của quản trị viên và xử lý lỗi xác thực; và chức năng bảo vệ (TSF) bao gồm bảo vệ dữ liệu được lưu trữ trong kho lưu trữ do TSF kiểm soát, tự kiểm tra TSF và xác minh tính toàn vẹn.

Ngoài ra, nó bao gồm chức năng hỗ trợ mật mã như quản lý khóa mật mã và các hoạt động mật mã để hỗ trợ (IPSec), an toàn tầng vận chuyển (TLS), vỏ bọc an toàn (SSH), giao thức truyền dẫn siêu văn bản an toàn (HTTPS) và các giao tiếp được mã hóa khác để quản trị viên quản lý giao tiếp truy cập; chức năng quản lý an toàn để quản lý các chức năng an toàn và thuộc tính an toàn và định nghĩa về vai trò quản trị viên; và chức năng truy cập TOE để quản lý phiên truy cập của quản trị viên được ủy quyền.

Yêu cầu về quy ước, tiêu chuẩn này nêu rõ ký hiệu, định dạng và quy ước được sử dụng nhất quán với tiêu chí chung (CC) để đánh giá an toàn công nghệ thông tin. 

Các mục tiêu an toàn được xử lý bằng phương pháp kỹ thuật và thủ tục được hỗ trợ từ môi trường vận hành nhằm cung cấp chức năng an toàn TOE một cách chính xác. Các yêu cầu an toàn xác định các yêu cầu chức năng an toàn và các yêu cầu đảm bảo phải được đáp ứng bởi TOE yêu cầu tuân thủ tiêu chuẩn này. Các yêu cầu chức năng an toàn có trong tiêu chuẩn này được tham chiếu từ TCVN 8709.  Ngoài ra, các yêu cầu chức năng an toàn được phân loại thành SFR bắt buộc, SFR bắt buộc có điều kiện và SFR tùy chọn.

An Dương