Nhận dạng và quản lý truy cập (IAM) là gì?

https://www.vietsunshine.com.vn/wp-content/uploads/2019/12/Nh%E1%BA%ADn-d%E1%BA%A1ng-v%C3%A0-qu%E1%BA%A3n-l%C3%BD-truy-c%E1%BA%ADp-IAM-l%C3%A0-g%C3%AC.jpg

Cùng tìm hiểu về nhận dạng và quản lý truy cập (IAM), cách IAM hoạt động và lý do tại sao các doanh nghiệp/tổ chức nên trang bị giải pháp IAM.

Quản lý danh tính và truy cập (IAM) là một thuật ngữ bao gồm các sản phẩm, quy trình và chính sách được sử dụng để quản lý danh tính người dùng và điều chỉnh quyền truy cập của người dùng trong một tổ chức.

Truy cập và người dùng là hai khái niệm IAM quan trọng. Truy cập đề cập đến các hành động của người dùng được cho phép thực hiện (như xem, tạo hoặc thay đổi tệp). Người dùng có thể là nhân viên, đối tác, nhà cung cấp, nhà thầu hoặc khách hàng. Hơn nữa, nhân viên có thể được phân khúc hơn nữa dựa trên vai trò của họ.

Cách quản lý danh tính và truy cập

Các hệ thống IAM được thiết kế để thực hiện ba nhiệm vụ chính: xác định, xác thực và ủy quyền. Có nghĩa là, chỉ những người phù hợp mới có quyền truy cập vào máy tính, phần cứng, ứng dụng phần mềm, bất kỳ tài nguyên CNTT nào hoặc thực hiện các tác vụ cụ thể.

Một số thành phần IAM cốt lõi tạo nên IAM framework bao gồm:

  • Cơ sở dữ liệu chứa danh tính người dùng và đặc quyền truy cập
  • Các công cụ IAM để tạo, giám sát, sửa đổi và xóa các đặc quyền truy cập
  • Một hệ thống kiểm tra lịch sử đăng nhập và truy cập

Với sự gia nhập của người dùng mới hoặc thay đổi vai trò của người dùng hiện tại, danh sách các đặc quyền truy cập phải được cập nhật mọi lúc. Các chức năng IAM thường thuộc các bộ phận CNTT hoặc các bộ phận xử lý an ninh mạng và quản lý dữ liệu.

Ví dụ của quản lý danh tính và truy cập

Dưới đây là những ví dụ đơn giản về IAM.

  • Khi người dùng nhập thông tin đăng nhập của mình, danh tính của anh ta sẽ được kiểm tra dựa trên cơ sở dữ liệu để xác minh xem thông tin đăng nhập có khớp với thông tin đăng nhập trong cơ sở dữ liệu hay không. Chẳng hạn, khi một người đăng nhập vào hệ thống quản lý nội dung, anh ta cần được sự cho phép để thực hiện công việc của mình. Tuy nhiên, anh ta không được phép thay đổi các công việc của người dùng khác.
  • Một người điều hành sản xuất có thể xem một quy trình làm việc trực tuyến nhưng có thể không được phép sửa đổi nó. Mặt khác, người giám sát có thể có quyền không chỉ để xem mà còn sửa đổi tệp hoặc tạo tệp mới. Nếu không có IAM, bất kỳ ai cũng có thể sửa đổi tài liệu và điều này có thể dẫn đến những hậu quả tai hại.
  • Thông qua IAM, chỉ những người dùng cụ thể trong tổ chức mới được phép truy cập và xử lý thông tin nhạy cảm. Nếu không có IAM, bất kỳ ai (ngay cả các tác nhân bên ngoài) đều có thể truy cập các tệp công ty bí mật, dẫn đến vi phạm dữ liệu có thể xảy ra. Trong khía cạnh này, IAM giúp các công ty đáp ứng các quy định nghiêm ngặt và phức tạp chi phối việc quản lý dữ liệu.

Truy cập dựa trên vai trò (Role-based access)

Nhiều hệ thống IAM sử dụng kiểm soát truy cập dựa trên vai trò (RBAC). Theo cách tiếp cận này, có các vai trò công việc được xác định trước với các nhóm đặc quyền truy cập cụ thể. Lấy nhân viên nhân sự làm ví dụ RBAC. Nếu một nhân viên nhân sự phụ trách đào tạo, sẽ không có ý nghĩa gì nếu nhân viên đó được cấp quyền truy cập vào các bảng lương và hồ sơ lương.

Đăng nhập một lần (single sign-on)

Một số hệ thống IAM triển khai Đăng nhập một lần (SSO). Với SSO, người dùng chỉ cần xác minh một lần. Sau đó, họ sẽ được cấp quyền truy cập vào tất cả các hệ thống mà không cần phải đăng nhập riêng vào từng hệ thống.

Xác thực đa yếu tố (multi-factor authentication)

Bất cứ khi nào cần thêm các bước để xác thực, nó sẽ xác thực hai yếu tố (2FA) hoặc xác thực đa yếu tố (MFA). Quá trình xác thực này kết hợp một cái gì đó mà người dùng biết (như mật khẩu) với thứ mà người dùng có (như mã thông báo bảo mật hoặc OTP) hoặc thứ gì đó mà một phần của cơ thể người dùng (như sinh trắc học).

Lợi ích của nhận dạng và quản lý truy cập (IAM)

Dưới đây là một cái nhìn về một số lợi ích chính và tại sao quản lý truy cập và nhận dạng là quan trọng.

  • IAM tăng cường bảo mật. Đây có lẽ là lợi ích quan trọng nhất mà tổ chức có thể nhận được từ IAM. Bằng cách kiểm soát quyền truy cập của người dùng, các công ty có thể loại bỏ các trường hợp vi phạm dữ liệu, đánh cắp thông tin nhận dạng và truy cập bất hợp pháp vào thông tin bí mật. IAM có thể ngăn chặn sự lây lan của thông tin đăng nhập bị xâm nhập, tránh xâm nhập trái phép vào mạng tổ chức, và cung cấp bảo vệ chống lại ransomware, hack, lừa đảo và các loại tấn công mạng khác.
  • IAM giúp giảm khối lượng công việc CNTT. Bất cứ khi nào một chính sách bảo mật được cập nhật, tất cả các đặc quyền truy cập trên toàn tổ chức có thể được thay đổi trong một lần quét. IAM cũng có thể giảm số lượng ticket được gửi tới bộ phận trợ giúp CNTT liên quan đến việc đặt lại mật khẩu. Một số hệ thống thậm chí có bộ tự động hóa cho các tác vụ CNTT tẻ nhạt.
  • IAM giúp tuân thủ. Với IAM, các công ty có thể nhanh chóng đáp ứng các yêu cầu của các quy định của ngành (như HIPAA và GDPR) hoặc thực hiện các thực tiễn tốt nhất của IAM.
  • IAM cho phép hợp tác và nâng cao năng suất. Các công ty có thể cung cấp cho người ngoài (như khách hàng, nhà cung cấp và khách truy cập) truy cập vào mạng của họ mà không gây nguy hiểm cho an ninh.
  • IAM cải thiện trải nghiệm người dùng. Không cần nhập nhiều mật khẩu để truy cập nhiều hệ thống theo SSO. Nếu sinh trắc học hoặc thẻ thông minh được sử dụng, người dùng có thể không cần phải nhớ mật khẩu phức tạp.

Thực hành tốt nhất để nhận dạng và quản lý truy cập

Theo các tiêu chuẩn ISO có liên quan sẽ là nơi khởi đầu tốt để đảm bảo các tổ chức đáp ứng các thực tiễn IAM tốt nhất. Một số tiêu chuẩn này là:

  • ISO/IEC 24760-1:2019 Bảo mật và quyền riêng tư CNTT – Khung quản lý danh tính – Phần 1: Thuật ngữ và khái niệm
  • ISO/IEC 24760-2:2015  Công nghệ thông tin – Kỹ thuật bảo mật – Khung quản lý danh tính – Phần 2: Yêu cầu và kiến trúc tham khảo
  • ISO/IEC 24760-3:2016  Công nghệ thông tin – Kỹ thuật bảo mật – Khung quản lý danh tính – Phần 3: Thực hành
  • ISO/IEC 29115:2013 Công nghệ thông tin – Kỹ thuật bảo mật – Khung đảm bảo xác thực thực thể
  • ISO / IEC 29100: 2011 Công nghệ thông tin – Kỹ thuật bảo mật – Khung bảo mật
  • ISO / IEC 29101: 2018 Công nghệ thông tin – Kỹ thuật bảo mật – Khung kiến trúc bảo mật
  • ISO / IEC TS 29003: 2018 Công nghệ thông tin – Kỹ thuật bảo mật – Chứng minh thư
  • ISO / IEC 29134: 2017 Công nghệ thông tin – Kỹ thuật bảo mật – Hướng dẫn đánh giá tác động quyền riêng tư

Lưu ý rằng cho dù các giải pháp quản lý danh tính mạnh đến mức nào, chúng vẫn có thể bị bẻ khóa với những lỗi đơn giản, như trong trường hợp rủi ro đến từ thói quen của nhân viên. Đó là lý do tại sao các thực hành an ninh mạng cơ bản – như sử dụng các thiết bị được ủy quyền cho các tệp nhạy cảm, không chia sẻ mật khẩu, sử dụng mạng được bảo mật – vẫn quan trọng hơn bao giờ hết.

Nguồn vietsunshine

AEH

Khóa học Chuyên Viên Bảo Mật Mạng – ACST