Quyền truy cập đặc quyền (Privileged Access) là gì?
Trong môi trường doanh nghiệp, “quyền truy cập đặc quyền” là một thuật ngữ được sử dụng để chỉ định quyền truy cập hoặc khả năng đặc biệt cao hơn và bao quát rộng hơn so với người dùng tiêu chuẩn. Quyền truy cập đặc quyền cho phép các tổ chức bảo vệ cơ sở hạ tầng và ứng dụng của họ, điều hành kinh doanh hiệu quả và duy trì tính bảo mật của các dữ liệu nhạy cảm và cơ sở hạ tầng quan trọng.
Quyền truy cập đặc quyền có thể được liên kết với người dùng (human users) cũng như với các ứng dụng và máy nhận dạng (non-human users) khác.
Ví dụ về quyền truy cập đặc quyền được sử dụng bởi con người:
- Tài khoản quản trị viên (Administrator): Một tài khoản quyền lực được quản trị viên hệ thống CNTT sử dụng để tạo cấu hình cho hệ thống hoặc ứng dụng, thêm/xóa người dùng hoặc xóa dữ liệu.
- Tài khoản quản trị miền (Domain administrative account): Tài khoản cung cấp quyền truy cập quản trị đặc quyền trên tất cả các máy trạm và máy chủ trong cùng mạng lưới miền. Những tài khoản này thường có số lượng ít, nhưng chúng cung cấp khả năng truy cập rộng rãi và mạnh mẽ nhất trên toàn mạng. Cụm từ “Chìa khóa đến Vương quốc CNTT” thường được sử dụng khi đề cập đến tính chất đặc quyền của một số tài khoản và hệ thống quản trị viên.
- Tài khoản quản trị cục bộ (Local administrative account): Tài khoản này nằm trên điểm cuối (hoặc máy trạm) và sử dụng kết hợp tên người dùng và mật khẩu. Nó giúp người dùng truy cập và thực hiện các thay đổi đối với máy hoặc thiết bị cục bộ của họ.
- Khóa ổ cắm an toàn (SSH): Khóa SSH là giao thức kiểm soát truy cập được sử dụng nhiều để cấp quyền truy cập root trực tiếp vào các hệ thống quan trọng. Root là tên người dùng hoặc tài khoản, theo mặc định, có quyền truy cập vào tất cả các lệnh và tệp trên Linux hoặc hệ điều hành giống Unix khác.
- Tài khoản khẩn cấp: Tài khoản này cung cấp cho người dùng quyền truy cập quản trị vào các hệ thống an toàn trong trường hợp khẩn cấp.
- Người dùng doanh nghiệp có đặc quyền: Là người làm việc bên ngoài CNTT, nhưng có quyền truy cập vào các hệ thống nhạy cảm. Những người có đặc quyền này có thể bao gồm những người cần tiếp cận tài chính, nguồn nhân lực (HR) hoặc hệ thống tiếp thị.
Ví dụ về quyền truy cập đặc quyền sử dụng bởi hệ điều hành:
- Tài khoản ứng dụng (Application account): Tài khoản đặc quyền dành riêng cho phần mềm ứng dụng và thường được sử dụng để quản trị, định cấu hình hoặc quản lý quyền truy cập vào phần mềm ứng dụng.
- Tài khoản dịch vụ (Service account): Tài khoản mà ứng dụng hoặc dịch vụ sử dụng để tương tác với hệ điều hành. Các dịch vụ sử dụng các tài khoản này để truy cập và thực hiện các thay đổi đối với hệ điều hành hoặc cấu hình.
- Khóa SSH: (Như đã trình bày ở trên). Các khóa SSH cũng được sử dụng bởi các quy trình tự động.
- Bí mật: Được nhóm phát triển và hoạt động (DevOps) thường sử dụng như một thuật ngữ tổng hợp đề cập đến khóa SSH, khóa giao diện chương trình ứng dụng (API) và các thông tin đăng nhập khác được nhóm DevOps sử dụng để cung cấp quyền truy cập đặc quyền.
Các tài khoản đặc quyền, thông tin xác thực và bí mật tồn tại ở khắp mọi nơi: có ước tính rằng chúng thường đông hơn nhân viên từ ba đến bốn lần. Trong môi trường kinh doanh hiện đại, những vụ tấn công liên quan đến đặc quyền đang phát triển nhanh chóng khi các hệ thống, ứng dụng, tài khoản giữa máy và máy, môi trường đám mây và hỗn hợp, DevOps, tự động hóa quy trình robot và các thiết bị IoT ngày càng trở nên kết nối với nhau.
Những kẻ tấn công biết điều này và nhắm mục tiêu vào quyền truy cập đặc quyền. Ngày nay, gần 100% các cuộc tấn công nâng cao dựa vào việc khai thác thông tin từ đăng nhập đặc quyền để tiếp cận dữ liệu, ứng dụng và cơ sở hạ tầng nhạy cảm nhất của mục tiêu. Nếu bị lạm dụng, quyền truy cập đặc quyền có khả năng làm gián đoạn hoạt động kinh doanh.
Quản lý quyền truy cập đặc quyền (PAM) là gì?
Các tổ chức triển khai quản lý truy cập đặc quyền (PAM) để bảo vệ khỏi các mối đe dọa do hành vi trộm cắp thông tin xác thực và lạm dụng đặc quyền gây ra. PAM đề cập đến một chiến lược an ninh mạng toàn diện – bao gồm con người, quy trình và công nghệ – để kiểm soát, điều khiển, bảo mật và kiểm toán tất cả danh tính và hoạt động đặc quyền của con người và phi con người trong môi trường CNTT doanh nghiệp.
Đôi khi được nhắc đến như là quản lý danh tính đặc quyền (PIM) hoặc bảo mật truy cập đặc quyền (PAS), PAM dựa trên nguyên tắc ít đặc quyền nhất, trong đó người dùng chỉ nhận được mức truy cập tối thiểu cần thiết để thực hiện công việc họ cần làm. Nguyên tắc này được nhiều người coi là phương pháp tốt nhất về an ninh mạng và là một bước cơ bản trong việc bảo vệ quyền truy cập đặc quyền vào dữ liệu và tài sản có giá trị cao. Thực thi nguyên tắc này giúp các tổ chức có thể giảm thiểu rủi ro từ những đối tượng chống phá bên trong hoặc các cuộc tấn công mạng bên ngoài có thể dẫn đến vi phạm dữ liệu. Hiện nay Vina-Aspire cung cấp đầy đủ giải pháp và tài liệu về CyberArk cho khách hàng có một cái nhìn tổng quan hơn về quy trình hoạt động cũng như những thông tin liên quan khác.
Một trong những giải pháp quản lý tài khoản đặc quyền hàng đầu hiện nay có thể nói đến CyberArk tại Vina Aspire. Với cấu trúc của hệ thống quản lý mật khẩu đặc quyền cung cấp một “vùng an toàn” bên trong doanh nghiệp, nơi mà tất cả những mật khẩu đặc quyền được bảo mật, tự động quản lý, và chia sẻ giữa những người dùng được phép như nhân viên IT, nhân viên quản trị dữ liệu, nhân viên quản trị hay những dịch vụ, ứng dụng trong kinh doanh, hệ thống quản trị thông tin…
Nguyên lý hoạt động của hệ thống được mô tả theo 5 quy trình sau:
- Định nghĩa chính sách về mật khẩu cho các thiết bị trong toàn hệ thống
- Quy trình khởi tạo và reset lại mật khẩu cho các thiệt bị trong hệ thống
- Quy trình yêu cầu mật khẩu từ nhân viên IT để sử dụng (Dual Control)
- Truy cập tới thiết bị thông qua SSO (single sign on)
- Thống kê, báo cáo
Để biết thêm thông tin chi tiết vui lòng nhấn vào đây.
Vina Aspire là nhà cung cấp các giải pháp và dịch vụ CNTT và An ninh mạng, bảo mật, an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức, cá nhân có nhu cầu tư vấn, xây dựng giải pháp và mua các sản phẩm, dịch vụ của CyberArk chính hãng tại Việt Nam, vui lòng liên hệ Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 |
Vina Aspire | www.vina-aspire.com