Các giải pháp quản lý truy cập được các doanh nghiệp sử dụng để xác thực, ủy quyền và kiểm tra quyền truy cập vào các ứng dụng và hệ thống CNTT. Chúng thường được cung cấp dưới dạng một thành phần của giải pháp quản lý truy cập và nhận dạng (IAM), giúp tăng cường bảo mật và giảm rủi ro bằng cách quản lý chặt chẽ quyền truy cập vào các ứng dụng, dịch vụ và cơ sở hạ tầng CNTT tại chỗ và trên nền tảng đám mây. Chúng cũng hỗ trợ trong việc đảm bảo rằng những người dùng thích hợp có quyền truy cập vào các tài nguyên thích hợp vào những thời điểm thích hợp và vì những lý do thích hợp. Bài đăng trên blog này sẽ giải thích chi tiết về quản lý quyền truy cập, bao gồm cả giá cho quản lý quyền truy cập đặc quyền.
Quản lý truy cập là gì?
Quản lý truy cập là quá trình xác định, theo dõi, điều chỉnh và quản lý quyền truy cập của người dùng được phép hoặc chỉ định vào hệ thống, ứng dụng hoặc bất kỳ phiên bản CNTT nào.
Đó là một khái niệm toàn diện bao gồm tất cả các quy tắc, phương pháp, phương pháp và công nghệ được sử dụng để giữ an toàn cho quyền truy cập trong môi trường CNTT.
Quản lý truy cập về cơ bản là một quy trình quản trị dữ liệu, CNTT và bảo mật thông tin cho phép người dùng hợp lệ truy cập trong khi cấm người dùng không hợp lệ. AM thường được sử dụng song song với quản lý truy cập danh tính (IAM). AM đảm bảo rằng các vai trò và chính sách này được tuân thủ, trong khi quản lý danh tính phát triển, cung cấp và điều chỉnh nhiều người dùng, vai trò, nhóm và chính sách khác nhau. Ứng dụng/hệ thống dựa trên AM lưu các vai trò và hồ sơ người dùng khác nhau, sau đó xử lý các yêu cầu truy cập của người dùng dựa trên dữ liệu/hồ sơ/vai trò.
Nhận dạng và quản lý truy cập
Quản lý danh tính và quyền truy cập (IAM) là một nguyên tắc an ninh mạng tập trung vào việc quản lý danh tính người dùng và quyền truy cập mạng. Mặc dù các chính sách, quy trình và công nghệ IAM khác nhau tùy theo công ty, nhưng mục tiêu của mọi sáng kiến IAM là đảm bảo rằng đúng người dùng và thiết bị có quyền truy cập vào đúng tài nguyên vào đúng thời điểm vì những lý do phù hợp.
IAM có thể giúp đơn giản hóa việc kiểm soát truy cập trong các thiết lập nhiều đám mây phức tạp. Các mạng công ty hiện được liên kết với các nguồn dữ liệu và phần mềm tại chỗ, từ xa và dựa trên đám mây (SaaS). Người dùng là con người (nhân viên, khách hàng, nhà thầu) và người dùng không phải là con người (bot, thiết bị IoT, khối lượng công việc tự động, API) yêu cầu quyền truy cập vào các tài nguyên này vì nhiều lý do.
Các hệ thống IAM cho phép các doanh nghiệp cấp một danh tính kỹ thuật số duy nhất cho từng người dùng và xác định các đặc quyền truy cập cho từng người dùng. Do đó, chỉ những người dùng được ủy quyền mới có quyền truy cập vào tài nguyên của công ty và họ chỉ có thể sử dụng các tài nguyên đó theo cách mà tổ chức cho phép.
IAM hoạt động như thế nào
Về bản chất, IAM cố gắng ngăn chặn tin tặc đồng thời cho phép người dùng được ủy quyền thực hiện mọi thứ họ cần làm một cách đơn giản mà không vượt quá quyền của họ.
Mạng của mỗi công ty là duy nhất, cũng như các chính sách, quy trình và công cụ được sử dụng để phát triển hệ thống quản lý truy cập và nhận dạng. Phải nói rằng, phần lớn, nếu không muốn nói là tất cả, triển khai IAM bao gồm bốn chức năng chính:
#1. Quản lý vòng đời danh tính
Quá trình phát triển và duy trì danh tính kỹ thuật số cho mọi thực thể con người hoặc không phải con người trên mạng được gọi là quản lý vòng đời danh tính.
Danh tính kỹ thuật số thông báo cho mạng biết mỗi thực thể là ai hoặc cái gì và họ được phép thực hiện những gì trên mạng. Việc nhận dạng thường chứa thông tin tài khoản người dùng cơ bản—tên, số ID, thông tin xác thực đăng nhập, v.v.—cũng như thông tin về chức năng tổ chức, nhiệm vụ và quyền truy cập của thực thể.
Các quy trình để giới thiệu các thực thể mới, nâng cấp tài khoản và quyền của họ theo thời gian cũng như loại bỏ hoặc hủy cấp phép những người dùng không còn yêu cầu quyền truy cập đều là một phần của quản lý vòng đời danh tính.
#2. Kiểm soát truy cập
Như đã nêu trước đây, mỗi danh tính kỹ thuật số có các mức truy cập khác nhau vào tài nguyên mạng dựa trên các hạn chế truy cập của công ty. Người tiêu dùng chỉ có thể có quyền truy cập vào tài khoản cá nhân và dữ liệu của họ trên nền tảng đám mây. Nhân viên có thể có quyền truy cập vào cơ sở dữ liệu khách hàng cũng như các công cụ nội bộ như cổng thông tin nhân sự. Quản trị viên hệ thống có thể có quyền truy cập và thay đổi mọi thứ trên mạng, bao gồm tài khoản khách hàng và nhân viên, dịch vụ bên trong và bên ngoài cũng như thiết bị mạng như bộ chuyển mạch và bộ định tuyến.
Để tạo và thực thi các quy định truy cập, nhiều hệ thống IAM sử dụng kiểm soát truy cập dựa trên vai trò (RBAC). Mỗi đặc quyền của người dùng trong RBAC được xác định theo chức năng công việc hoặc chức danh công việc của họ. Giả sử một công ty đang định cấu hình quyền truy cập tường lửa mạng. Một đại diện bán hàng dường như không có quyền truy cập vì nghề nghiệp của họ không yêu cầu điều đó. Nhà phân tích bảo mật cấp cơ sở có thể xem nhưng không thể thay đổi cấu hình tường lửa. CISO sẽ có tất cả các quyền hành chính. Một API kết nối SIEM của công ty với tường lửa có thể đọc được nhật ký hoạt động của tường lửa nhưng không thấy bất cứ điều gì khác.
#3. Xác thực và ủy quyền
Các hệ thống IAM làm được nhiều việc hơn là chỉ tạo danh tính và cấp quyền; chúng cũng hỗ trợ thực thi các quyền đó thông qua xác thực và ủy quyền.
Xác thực là quá trình thông qua đó người dùng chứng minh rằng họ là chính họ. Khi người dùng tìm kiếm quyền truy cập vào tài nguyên, hệ thống IAM sẽ so sánh thông tin đăng nhập của họ với thông tin đăng nhập được lưu trữ trong thư mục. Quyền truy cập được cấp nếu chúng phù hợp.
Mặc dù tổ hợp tên người dùng/mật khẩu cung cấp mức xác thực cơ bản, hầu hết các khung quản lý quyền truy cập và nhận dạng ngày nay đều sử dụng các lớp xác thực bổ sung để cung cấp bảo mật bổ sung chống lại các mối đe dọa trên mạng.
Xác thực đa yếu tố.
Người dùng phải gửi hai hoặc nhiều yếu tố xác thực để chứng minh danh tính của họ khi sử dụng xác thực đa yếu tố (MFA). Mã bảo mật được cung cấp cho điện thoại của người dùng, khóa bảo mật vật lý hoặc sinh trắc học như quét dấu vân tay đều là những yếu tố phổ biến.
SSO (đăng nhập một lần)
SSO cho phép người dùng truy cập nhiều ứng dụng và dịch vụ bằng một bộ thông tin đăng nhập duy nhất. Cổng SSO xác minh danh tính của người dùng và tạo chứng chỉ hoặc mã thông báo đóng vai trò là khóa bảo mật cho các tài nguyên khác. Nhiều hệ thống SSO sử dụng các giao thức mở như Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) để cho phép các nhà cung cấp dịch vụ tự do chia sẻ khóa.
nhận dạng thích ứng
Khi rủi ro thay đổi, xác thực thích ứng, còn được gọi là "xác thực dựa trên rủi ro", sẽ thay đổi các yêu cầu xác thực trong thời gian thực. Người dùng có thể chỉ cần gửi tên người dùng và mật khẩu khi đăng ký từ thiết bị thông thường của họ. Nếu cùng một người dùng đăng nhập từ một thiết bị không đáng tin cậy hoặc cố gắng xem thông tin nhạy cảm, thì có thể cần phải có các yếu tố xác thực bổ sung.
Hệ thống IAM kiểm tra thư mục để tìm các đặc quyền truy cập của người dùng sau khi chúng được xác thực. Sau đó, hệ thống IAM cho phép người dùng chỉ truy cập và hoàn thành các tác vụ mà quyền của họ cho phép.
#4. Quản lý danh tính
Quá trình theo dõi những gì mọi người làm với quyền truy cập tài nguyên của họ được gọi là quản lý danh tính. Các hệ thống IAM theo dõi người dùng để đảm bảo rằng họ không lạm dụng các đặc quyền của mình—và để bắt bất kỳ tin tặc nào xâm nhập vào mạng.
Quản lý danh tính cũng rất cần thiết để tuân thủ quy định. Các công ty có thể sử dụng dữ liệu hoạt động để đảm bảo rằng các biện pháp kiểm soát truy cập của họ tuân thủ các tiêu chuẩn bảo mật dữ liệu, chẳng hạn như Quy định bảo vệ dữ liệu chung (GDPR) hoặc Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI-DSS).
Quản lý truy cập đặc quyền (PAM)
Quản lý truy cập đặc quyền (PAM) là một phương pháp bảo mật thông tin (infosec) bảo vệ danh tính với quyền truy cập hoặc khả năng duy nhất ở trên và ngoài những người dùng thông thường. Bảo mật PAM, giống như tất cả các giải pháp bảo mật thông tin khác, dựa trên sự kết hợp của con người, quy trình và công nghệ.
Chúng tôi thực hiện các biện pháp phòng ngừa bổ sung với các tài khoản đặc quyền do rủi ro mà chúng gây ra cho môi trường kỹ thuật. Ví dụ: nếu thông tin đăng nhập của quản trị viên hoặc tài khoản dịch vụ bị xâm phạm, hệ thống và dữ liệu bí mật của tổ chức có thể bị nguy hiểm.
Khi các tác nhân đe dọa xâm phạm tài khoản truy cập đặc quyền, vi phạm dữ liệu sẽ xảy ra. Vì những tài khoản này chứa chìa khóa mở mọi cánh cửa trong môi trường công nghệ nên chúng tôi phải thêm các lớp bảo mật bổ sung. Hệ thống Quản lý truy cập đặc quyền cung cấp bảo mật bổ sung đó.
Quyền truy cập đặc quyền là gì?
Trong bối cảnh công nghệ, quyền truy cập đặc quyền đề cập đến các tài khoản có khả năng lớn hơn người dùng thông thường. Ví dụ, trong môi trường Linux, người dùng root có thể thêm, chỉnh sửa hoặc xóa người dùng; cài đặt và gỡ cài đặt phần mềm; và truy cập các phần bị hạn chế của hệ điều hành mà người dùng bình thường không thể. Môi trường Windows có mô hình bảo mật tương tự, nhưng người dùng root được gọi là quản trị viên.
Quá trình quản lý truy cập đặc quyền là gì?
Quản lý truy cập đặc quyền, như đã nói trước đây, là sự kết hợp của con người, quy trình và công nghệ. Do đó, việc xác định tài khoản nào có quyền truy cập đặc quyền là bước đầu tiên trong việc cài đặt giải pháp PAM. Sau đó, công ty phải quyết định chính sách nào sẽ được áp dụng cho các tài khoản này.
Ví dụ: họ có thể quy định rằng các tài khoản dịch vụ phải làm mới mật khẩu của họ mỗi khi người dùng truy cập thông tin đăng nhập đã lưu của họ. Thực thi Xác thực đa yếu tố (MFA) cho tất cả quản trị viên hệ thống là một ví dụ khác. Một quy định khác mà công ty có thể chọn áp dụng là lưu giữ nhật ký đầy đủ về tất cả các phiên đặc quyền. Mỗi quy trình lý tưởng nên được liên kết với một rủi ro cụ thể. Ví dụ: yêu cầu thay đổi mật khẩu cho tài khoản dịch vụ sẽ giảm khả năng bị nội gián tấn công. Tương tự như vậy, việc lưu nhật ký của tất cả các phiên đặc quyền cho phép quản trị viên bảo mật xác định bất kỳ điểm bất thường nào và việc thực thi MFA là một giải pháp đã được chứng minh là đúng để ngăn chặn các cuộc tấn công liên quan đến mật khẩu.
Sau khi hoàn thành bước khám phá tìm tài khoản đặc quyền và hoàn thiện chính sách PAM, doanh nghiệp có thể cài đặt nền tảng công nghệ để giám sát và thực thi Quản lý truy cập đặc quyền của mình. Giải pháp PAM này tự động hóa các quy tắc của tổ chức và cung cấp nền tảng để quản trị viên bảo mật quản lý và giám sát các tài khoản đặc quyền.
Ý nghĩa của PAM là gì?
Các tài khoản đặc quyền mang lại rủi ro lớn cho công ty, do đó quản lý quyền truy cập đặc quyền là rất quan trọng trong bất kỳ tổ chức nào. Ví dụ: nếu một tác nhân đe dọa xâm phạm tài khoản người dùng thông thường, họ sẽ chỉ có quyền truy cập vào thông tin của người dùng cụ thể đó. Nếu họ quản lý để thỏa hiệp một người dùng đặc quyền, họ sẽ có nhiều quyền truy cập hơn đáng kể và tùy thuộc vào tài khoản, thậm chí có thể làm hỏng hệ thống.
Do xếp hạng và hồ sơ của họ, những kẻ lừa đảo nhắm mục tiêu vào các tài khoản đặc quyền để tấn công toàn bộ công ty chứ không phải một cá nhân. Với việc Forrester dự đoán rằng các tài khoản đặc quyền có liên quan đến 80% các vụ vi phạm bảo mật, việc bảo vệ và giám sát các danh tính tổ chức cơ bản này là rất quan trọng. Ví dụ, một giải pháp PAM có thể giải quyết các lỗi bảo mật như nhiều người truy cập và biết cùng một mật khẩu quản trị cho một dịch vụ cụ thể. Nó cũng làm giảm nguy cơ quản trị viên từ chối thay đổi mật khẩu tĩnh lâu đời vì sợ gây ra sự gián đoạn không lường trước được.
PAM quản lý các thành phần quan trọng của quyền truy cập an toàn và hợp lý hóa việc tạo tài khoản người dùng quản trị viên, khả năng truy cập nâng cao và cấu hình ứng dụng đám mây. PAM làm giảm bề mặt tấn công của một tổ chức trên các mạng, máy chủ và danh tính về mặt bảo mật CNTT. Nó cũng làm giảm khả năng vi phạm dữ liệu do các mối đe dọa an ninh mạng bên trong và bên ngoài gây ra.
Giá quản lý quyền truy cập đặc quyền
Hệ thống quản lý quyền truy cập đặc quyền (PAM) tốn nhiều chi phí hơn là chỉ phí giấy phép. Mặc dù việc chỉ tập trung vào chi phí trả trước có thể rất hấp dẫn, nhưng việc đánh giá giá quản lý quyền truy cập đặc quyền yêu cầu xem xét các yếu tố khác để xác định liệu giải pháp có mang lại Lợi tức đầu tư (ROI) thực sự hay gây ra nhiều vấn đề hơn mức giải quyết.
Đó là lý do tại sao, ngoài việc xem xét chi phí quản lý quyền truy cập đặc quyền, các doanh nghiệp phải xác định loại ROI mà họ sẽ nhận được khi lựa chọn hệ thống PAM. Máy tính ROI có thể hỗ trợ họ xác định các loại lợi nhuận khả thi cho nhóm DevOps/Kỹ thuật, nhóm Bảo mật và công ty.
Chi phí giải pháp PAM là bao nhiêu?
Các giải pháp Quản lý truy cập đặc quyền (PAM) có giá 70 USD/người dùng/tháng. Điều này bao gồm kiểm tra và tích hợp cho tất cả cơ sở dữ liệu, máy chủ, cụm, ứng dụng web và đám mây. Cũng không có đo lường, giới hạn dữ liệu hoặc chi phí dịch vụ chuyên nghiệp.
Vai trò của quản lý truy cập là gì?
Quản lý quyền truy cập đảm bảo rằng một người nhận được mức độ và loại quyền truy cập chính xác vào một công cụ mà họ có quyền.
Bạn cần những kỹ năng gì để quản lý truy cập?
- Hiểu biết tốt và có kiến thức về bảo mật ứng dụng.
- Một số hiểu biết và/hoặc kiến thức chuyên môn về các hệ thống kiểm soát truy cập dựa trên vai trò.
- Khả năng giao tiếp bằng lời nói và bằng văn bản, giao tiếp giữa các cá nhân, tổ chức và quản lý thời gian xuất sắc.
- Có khả năng truyền đạt và giải thích cho người khác các vấn đề kỹ thuật phức tạp, các vấn đề và các giải pháp thay thế.
- Kiến thức tốt hoặc kinh nghiệm làm việc với hệ thống ERP trong cơ quan giáo dục đại học hoặc chính phủ.
- Cần có kỹ năng phân tích và xử lý sự cố với các vấn đề và nhiệm vụ kỹ thuật phức tạp.
- Ưu tiên có kiến thức hoặc kinh nghiệm với tư cách là quản trị viên danh tính trong môi trường phát triển phần mềm xử lý hệ thống ERP.
- Kiến thức hoặc kinh nghiệm vững chắc về các quy định quản lý danh tính của tiểu bang và liên bang.
- Biết khi nào các biện pháp kiểm soát truy cập dựa trên vai trò có thể được sử dụng để cung cấp quyền truy cập.
- Khả năng xác định thời điểm gửi yêu cầu tới trung tâm hỗ trợ kỹ thuật của nhà cung cấp và/hoặc thời điểm báo cáo vấn đề hiện có.
- Khả năng quyết định xem có nên leo thang hoặc áp dụng các mức giảm thiểu rủi ro cụ thể hay không.
Bài viết liên quan
- EMPATHY: Thiếu các dấu hiệu đồng cảm và cách phát triển nó
- HỆ THỐNG QUẢN LÝ NHẬN DẠNG
- CÔNG CỤ QUẢN LÝ NHẬN DẠNG & TRUY CẬP: Định nghĩa, Công cụ truy cập & nhận dạng tốt nhất và miễn phí
- Quản lý quyền truy cập đặc quyền: Cách thức hoạt động
dự án
