Tính đến 6/3/2023, tổng số vụ tấn công trực tuyến tại Việt Nam năm 2022 đã giảm 33,8% so với 2021. Tổng cộng là 41.989.163 vụ được phát hiện và ngăn chặn (theo báo cáo mới nhất từ Kaspersky Security Network). Tuy đã giảm về số lượng các vụ tấn công ngoại tuyến, nhưng theo thống kê mới nhất, Việt Nam hiện vẫn đứng thứ 49 trên thế giới về tổng số lượng các cuộc tấn công trực tuyến trong những năm gần đây. 

 Thống kê về tấn công mạng tại Việt Nam giai đoạn 2020 - 2022 

Trong bài viết này, chuyên gia CMC Telecom giới thiệu tới các doanh nghiệp giải pháp phòng chống từ chối dịch vụ phân tán (Distributed Denial-of-Service - DDoS) từ AWS. 
 
Lý do doanh nghiệp nên sử dụng giải pháp phòng chống DDoS từ AWS

DDoS là phương pháp tấn công mà các Hacker sẽ gửi hàng loạt yêu cầu truy cập đến hệ thống đích. Điều này sẽ gây ra tình trạng quá tải và làm cản trở những hoạt động thông thường của hệ thống. Hacker sử dụng mạng botnet gây ra sự gián đoạn và tổn hại lớn đối với các hệ thống và dịch vụ mạng.

Với những vấn đề và lỗ hổng trên, CMC Telecom đề xuất doanh nghiệp nghiên cứu và ứng dụng 2 dịch vụ của AWS nhằm chống lại và giảm thiểu tác động của DDoS là AWS Shield và AWS WAF (Web Application Firewall). 

AWS Shield là dịch vụ được quản lý giúp bảo vệ chống lại tấn công DDoS, giữ an toàn cho các ứng dụng chạy trên AWS. AWS WAF là dịch vụ giúp doanh nghiệp chống lại botnet và kỹ thuật tấn công web phổ biến có thể ảnh hưởng đến mức độ sẵn sàng, bảo mật hoặc tiêu tốn tài nguyên hệ thống. Botnet là một mạng máy tính được tạo thành từ các máy tính bị nhiễm mã độc và được điều khiển bởi Hacker. Hacker có thể sử dụng botnet để thực hiện các cuộc tấn công từ chối dịch vụ (DDoS).

Với AWS Shield, dịch vụ này được phân loại thành 2 phiên bản. Trước tiên là AWS Shield Standard, phiên bản miễn phí được tích hợp sẵn cho tất cả khách hàng của AWS. AWS Shield Standard cung cấp bảo vệ cơ bản tầng mạng và tầng vận chuyển (Layer 3 và 4) giúp ngăn chặn và hạn chế tác động của các cuộc tấn công DDoS thông qua việc phát hiện và chặn lưu lượng tấn công trước khi gây ảnh hưởng đến hệ thống. Thứ hai là phiên bản AWS Shield Advanced mang đến mức độ bảo vệ cao hơn, ngoài các tính năng sẵn có trong Standard. Phiên bản Advanced cho phép vừa phát hiện và giảm thiểu tấn công DDoS phức tạp, vừa cung cấp khả năng giám sát gần sát thời gian thực nhất khi tích hợp với AWS WAF - tường lửa bảo vệ ứng dụng web (Layer 7). Ngoài ra, với phiên bản Advanced khách hàng sẽ được tiếp cận với AWS Shield Response Team (SRT) - đội ngũ chuyên gia an ninh, hỗ trợ khách hàng trực tiếp 24/7.

 AWS Shield Advanced

Kiến trúc tham khảo bảo vệ ứng dụng web phổ biến (Layer 7)

 Sơ đồ tham khảo bảo vệ ứng dụng web phổ biến

AWS khuyến nghị người dùng sử dụng kết hợp các dịch vụ vừa để phòng chống vừa giảm thiểu thiệt hại do tấn công DDoS. Cụ thể, dịch vụ AWS Shield Advanced, một trung tâm bảo vệ DDoS toàn diện. CloudFront - dịch vụ CDN của AWS giúp tăng tốc độ và khả năng mở rộng phân phối nội dung web. Khi kết hợp với AWS Shield Advanced, CloudFront chuyển hướng lưu lượng truy cập web thông qua hệ thống bảo vệ của Shield nhằm ngăn chặn và hạn chế tác động của cuộc tấn công DDoS ngay tại tầng mạng. Dịch vụ Amazon Route 53 giúp quản lý tên miền và DNS của AWS, dịch vụ này có thể phân phối lưu lượng truy cập web đến các máy chủ đích qua các khu vực địa lý khác nhau. Điều này nâng cao bảo vệ chống DDoS cho hệ thống DNS thông qua việc phân tán lưu lượng và đảm bảo tính sẵn sàng của ứng dụng.

 Mô hình mô tả hoạt động của CloudFront

Bên cạnh đó, WAF cũng cung cấp lớp bảo vệ bổ sung bằng cách sử dụng các tập hợp Rule có sẵn hoặc tạo tập luật tùy chỉnh để phát hiện, xác định, ngăn chặn các hành vi đáng ngờ và các loại tấn công DDoS.

Kiến trúc tham khảo bảo vệ ứng dụng hoạt động qua giao thức TCP/UDP (Layer 3 và 4)

Sơ đồ tham khảo bảo vệ ứng dụng hoạt động qua giao thức TCP/UDP 

Với kinh nghiệm triển khai và đồng hành cùng AWS trong nhiều năm qua, CMC Telecom khuyến khích doanh nghiệp sử dụng Amazon Route 53 kết hợp cùng AWS Global Accelerator. Đây là một dịch vụ của AWS giúp cải thiện thời gian đáp ứng và tăng lưu lượng truy cập người dùng cho các ứng dụng chạy trên AWS. Global Accelerator sử dụng hạ tầng mạng toàn cầu của AWS để định tuyến lưu lượng truy cập đến các điểm cuối ứng dụng một cách tối ưu, giúp giảm thiểu độ trễ và tăng cường khả năng mở rộng. Sự kết hợp này có thể tối ưu hóa việc phòng chống tấn công DDoS cho nhiều loại ứng dụng từ Game, IoT, Voice IP và các ứng dụng web cần địa chỉ IP tĩnh. 

Ngoài ra, khi tích hợp với Elastic Load Balancer (ELB), Global Accelerator không chỉ giúp phân phối tải trọng một cách hiệu quả mà còn tạo ra lớp bảo vệ chống DDoS. Bởi ELB là dịch vụ cung cấp bởi Amazon Web Services (AWS), để tự động phân phối lưu lượng mạng đến nhiều máy chủ, ổ đĩa, hoặc các dịch vụ khác trong cùng một môi trường đám mây. ELB có khả năng mở rộng tự động và phân phối lưu lượng truy cập, giúp cải thiện hiệu suất và độ sẵn sàng của ứng dụng. 

Đối với ứng dụng web, việc sử dụng ELB kết hợp cùng AWS WAF web access control list (web ACL) sử dụng bộ các quy tắc sẽ giúp giảm thiểu hơn nhiều về những rủi ro khi bị tấn công.

Hiện ở Việt Nam, CMC Telecom là đối tác dịch vụ cấp cao của AWS. Đồng thời, doanh nghiệp này cũng sở hữu năng lực AWS Migration Competency với sự ghi nhận và chứng thực về năng lực và kinh nghiệm chuyên môn có thể đáp ứng các nhu cầu về các dịch vụ - giải pháp trên AWS Cloud. 

Thúy Ngà