CÔNG TY CỔ PHẦN CÔNG NGHỆ BẰNG HỮU


Tin tức

QUẢN LÝ TRUY CẬP ĐẶC QUYỀN CYBERARK – IDENTITY SECURITY

ĐẶT VẤN ĐỀ

Ngày nay, các tổ chức dành nhiều thời gian, công sức và tiền bạc để xây dựng hệ thống an toàn an ninh cho hạ tầng CNTT phục vụ mục đích điều hành và kinh doanh. Một hạ tầng CNTT cơ bản bao gồm nhiều thành phần khác nhau như: Máy chủ, thiết bị tường lửa, CSDL, các thiết bị mạng, …Tất cả các thành phần này được kiểm soát, điều khiển bằng cách sử dụng một loạt các tài khoản đặc quyền (ví dụ tài khoản root của máy chủ UNIX, tài khoản DBA của hệ thống CSDL Oracle, tài khoản Administrator của máy chủ Windows, …)

Các tài khoản đặc quyền này có quyền truy cập đầy đủ vào tài nguyên của các hệ thống tương ứng. Thông thường có hàng trăm, thậm chí hàng ngàn các tài khoản này tồn tại trong doanh nghiệp, tổ chức. Việc quản lý tất cả các tài khoản này rất phức tạp và gây nhiều khó khăn cho tổ chức

Nhưng điều phổ biến hiện nay đang tồn tại ở các doanh nghiệp, tổ chức là các tài khoản đặc quyền và cả mật khẩu thường không được quản lý và hiếm khi thay đổi. Ngoài ra cũng không có sự giám sát chặt chẽ từ các cấp quản lý có thẩm quyền.

Trong một số trường hợp, các tài khoản này không chỉ do nhân viên IT trong nội bộ của tổ chức nắm giữ mà còn được cung cấp cho bên thứ ba. Ví dụ một tổ chức không có đội ngũ IT chuyên nghiệp để quản trị hệ thống, phải thuê đối tác thứ ba quản trị hệ thống CNTT của doanh nghiệp, khi đó tổ chức phải cung cấp các tài khoản đặc quyền này cho đối tác. Hoặc các tài khoản / mật khẩu này cũng tồn tại trong các ứng dụng tự phát triển, hoặc trong các scripts hoặc file .ini, …Nó không được thay đổi mật khẩu thường xuyên.

Có thể nói rằng các tài khoản đặc quyền chính là chìa khóa cho mọi tài sản của tổ chức. Do vậy việc quản lý yếu kém các tài khoản đặc quyền này sẽ dẫn đến các nguy cơ sau:

  • Lỗi kiểm soát: Loại bỏ các mật khẩu không được thay đổi và không được kiểm soát để tuân thủ các quy định (ví dụ như PCI DSS, Basel II, ISO 27001…)
  • Nguy cơ an ninh: Một trong những mối quan tâm nhất hiện nay là các nguy cơ từ chính bên trong tổ chức, các nhân viên IT có thể gây ra những tổn thất cho tổ chức nơi họ làm việc mà bản thân các nhà quản lý không hề nghĩ tới. Ví dụ trong tổ chức tài chính lớn, một nhân viên IT nhận thấy rằng mình không được thưởng công xứng đáng trong công việc có thể tắt tất cả UNIX phục vụ kinh doanh và điều này có thể gây ra thiệt hại ước tính tới hàng triệu Dollar. Anh ta có thể làm được việc đó bởi vì anh ta biết mật khẩu của tài khoản root trong hệ thống máy chủ UNIX. Và tổ chức cũng không thể nào chứng minh được hành động của anh ta vì cũng có vài đồng nghiệp biết mật khẩu của tài khoản root trong hệ thống máy chủ UNIX.
  • Mất năng suất trong công việc: Một mật khẩu khi thiết lập theo phương pháp thủ công bởi nhân viên IT, người đã không thông báo cho đồng nghiệp của mình có thể gây ra sự chậm trễ hàng giờ đồng hồ trong trong việc tiếp cận thông tin phục vụ điều hành, kinh doanh trong tổ chức. Với các tổ chức lớn, có hàng trăm các thiết bị mạng, máy chủ thì sẽ tốn rất nhiều thời gian để khắc phục sự cố.

Các tổ chức cần phải kiểm soát một cách chặt chẽ các tài khoản đặc quyền này. Theo dõi mọi hoạt động của các loại tài khoản này sẽ làm giảm thiểu các nguy cơ bảo mật và cung cấp các quy định buộc hệ thống phải tuân thủ để đảm bảo quá trình hoạt động của tổ chức được liên tục

CYBERARK – Identity Security

PIM Suite cung cấp một “thiên đường an toàn” bên trong doanh nghiệp nơi mà tất cả những mật khẩu đặc quyền được bảo mật, tự động quản lý, và chia sẻ giữa những người dùng được phép như nhân viên IT, nhân viên quản trị dữ liệu, nhân viên quản trị vùng hoặc từ xa hay những dịch vụ thiếu sự quan tâm cần thiết như những ứng dụng trong kinh doanh, hệ thống quản trị thông tin…Cấu trúc của hệ thống quản lý mật khẩu đặc quyền – PIM Suite bao gồm những thành phần sau:

Hình 1: Các thành phần trong bộ giải pháp của CyberArk

Secure Digital Vault

  • Là thành phần lưu trữ toàn bộ thông tin quan trọng nhất của hệ thống, thành phần này dựa trên công nghệ Digital Vault của CyberArk, đáp ứng với chuẩn bảo mật FIPS 140-2 (với thuật toán mã hóa AES-256) và đã được chứng minh là đáp ứng các chuẩn bảo mật như: PCI, NERC, FERC, SOX, HIPAA, GLB…. Secure Digital Vault được thiết kế với khả năng bảo mật đa lớp (bao gồm: tường lửa, VPN, xác thực, điều khiển truy cập, mã hóa…) kết hợp chặt chẽ với nhau và trung tâm là hệ thống quản lý mật khẩu đặc quyền – PIM Suite là giải pháp tối ưu trong vấn đề lưu trữ, chia sẻ định danh trong môi trường doanh nghiệp.

Master Policy (Central Policy Manager – CPM)

Hình 2: Master Policy

  • CPM cho phép tổ chức định nghĩa các chính sách dựa trên một tập các chính sách có sẵn trong CPM.
  • Cho phép tổ chức xác thực các mật khẩu trên các thiết bị và có khả năng đồng bộ lại mật khẩu trong trường hợp cần thiết như mất kết nối hệ thống quản lý mật khẩu tới các thiết bị cần quản lý, …
  • CPM cho phép tạo các mật khẩu mới một cách ngẫu nhiên và thay thế các mật khẩu hiện tại của các thiết bị do PIM quản lý. Các mật khẩu được tạo mới sẽ được lưu trữ và mã hóa trên Vault Server.
  • Các chính sách được lưu trữ trong những tài khoản đặc quyền khác nhau, vì vậy chỉ có người dùng đáp ứng được các chính sách an ninh mới có thể truy cập.

Hình 3: Ví dụ về giao diện thiết lập chính sách

Management Portal (Password Vault Web Access)

  • Password Vault Web Access (PVWA) mang đầy đủ một tính năng của một Cổng thông tin Web. Cung cấp giao diện cho phép điều khiển cho các yêu cầu, truy cập và mật khẩu quản lý đặc quyền cũng như kết nối trong suốt để quản lý thiết bị. PVWA hỗ trợ cả người dùng, quản trị viên hệ thống.

Hình 4: Giao diện PVWA, cho phép tích hợp với các phương pháp xác thực khác nhau

  • PVWA cung cấp giao diện đơn giản, thuận tiện cho người sử dụng.  Ngoài ra người dùng có thể tìm kiếm các thông tin một cách dễ dàng và nhanh chóng thông qua công cụ tìm kiếm được thiết kế một cách hợp lý nhất. Chức năng Accounts Page cung cấp cho các quản trị viên công cụ rất nhanh chóng trong việc hiển thị, tìm kiếm hay truy cập tới các tài khoản đặc quyền do mình quản lý

Hình 5: Giao diện trang Accounts List

  • PVWA không yêu cầu phải cài bất kỳ một plug-in nào trên máy của người sử dụng trong khi đa số các giải pháp khác đều chạy trên môi trường JAVA.
  • PVWA còn cung cấp giao diện ngọn nhẹ và đơn giản cho phép bạn truy cập PVWA thông qua các thiết bị di động để thao tác với tài khoản đặc quyền

Hình 6: Giao diện truy cập qua Mobile

Privileged Session Manager (PSM)

Hình 7: Các thức hoạt động của PSM

  • Module hoạt động như một proxy, có chức năng ghi lại toàn bộ thao tác của người quản trị khi đăng nhập vào thiết bị do PSM quản lý như: Window, Unix, Network Devices qua các giao thức RDP, SSH và Telnet ra file Video hoặc dưới dạng text và được lưu giữ trong Vault Server. Một điểm nổi bật của module PSM là không yêu cầu cài đặt bất cứ một AGENT nào trên các target server (server, database, …)
  • Cho phép theo dõi trực tiếp (real-time monitoring) tất cả các thao tác của quản trị hệ qua video. Auditor có thể ngắt các phiên làm việc trong trường hợp cần thiết.
  • Cung cấp tính năng Single-Sign-On cho phép các quản trị hệ thống không cần phải nhớ các mật khẩu của các hệ thống do mình quản lý.

SSH Key Manager (SSHKM)

Hình 8: Module SSH Key Manager

  • Module có chức năng lưu trữ, quản lý tập trung và bảo mật cao các SSH Key trong Vault
  • Kiểm soát việc truy cập các SSH Key của ứng dụng thông qua quyền sử dụng và chính sách
  • Giảm nguy cơ bị truy cập trái phép vào hệ thống quan trọng bằng cách đảm bảo chủ động, luân chuyển và kiểm soát quyền truy cập của tài khoản đặc quyền qua các SSH Key
  • Nhanh chóng phát hiện ra các mối nghi ngờ hành động của tài khoản đặc quyền bằng cách theo dõi các phiên làm việc qua SSH theo thời gian thực
  • Tự động phân phối khóa một cách trong suốt cho các ứng dụng

Secrets Manager

  • Module cung cấp các API cho phép tích hợp với ứng dụng để thay đổi mật khẩu của các tài khoản trong Script, ứng dụng phát triển
  • Hỗ trợ đa dạng các ngôn ngữ lập trình C, JAVA, CLI, .NET
  • Xác thực ứng dụng trước khi cung cấp mật khẩu để sử dụng
  • Cho phép triển khai theo nhiều mô hình khác nhau (Agent, Agentles, DevOps hoặc cloud)

Privileged Thread Analytics

  • Phát hiện sự cố bảo mật bằng cách xác định các hoạt động người dùng đặc quyền bất thường, vì các tài khoản đặc quyền thường bị tổn hại nhất như là một phần của cuộc tấn công
  • Giảm nhẹ các sự cố an ninh, tạo ra những hiểu biết có thể thực hiện để hỗ trợ giảm nhẹ các sự cố nhanh.
  • Xác định rủi ro tổng thể bằng cách tính toán một chỉ mục mối đe dọa của hệ thống để chỉ ra một mối đe dọa hoặc tấn công đang diễn ra.
  • Endpoint Protection – Bằng cách thu thập các bản ghi từ các thiết bị đầu cuối quan trọng trong Cơ sở hạ tầng Threat Analytics có thể cảnh báo về hành vi bất thường trên hệ thống cục bộ. Ví dụ: đăng nhập qua tài khoản đặc quyền mà không được quản lý bởi Enterprise Password Vault của CyberArk có thể cho biết tài khoản gián tuyến cố gắng vi phạm. Intelligent Dashboard – PTA Dashboard cung cấp giao diện để dễ dàng giám sát, điều tra và phản hồi nhanh các mối đe dọa khi chúng được cảnh báo. Một nhà điều hành có thể đi sâu vào chi tiết cảnh báo để xem thông tin về các sự kiện liên quan đến cảnh báo
  • PTA và PSM cung cấp kiểm tra và hiểu biết thực tế thời gian thực về các rủi ro liên quan đến các phiên người dùng đang diễn ra và cung cấp xem xét các sự kiện cần sự chú ý Tier 1 trong bảng điều khiển PTA với kết nối trực tiếp đến các bản ghi PSM. Điều này sẽ cung cấp cho các nhóm bảo mật khả năng đáp ứng trong thời gian thực các phiên có nguy cơ cao bằng cách chấm dứt các phiên trực tuyến (terminate) và cho phép họ giám sát các máy chủ quan trọng hơn mà không tăng chi phí hoạt động

Idaptive Multi-Factor Authentication và SSO Services

Multi-Factor Authentication Services

Bảo mật mạnh hơn là tốt, nhưng không tốt nếu nó cản trở người dùng của bạn. MFA truyền thống là “bật” hoặc “tắt”, điều này dẫn đến việc liên tục nhắc đến một yếu tố bổ sung và khiến người dùng khó chịu. Các tổ chức cần các biện pháp kiểm soát bảo mật mạnh mẽ hơn, thông minh hơn và nhận biết rủi ro để xác định và thực hiện hành động đối với hoạt động xác thực rủi ro. Với công cụ phân tích và máy học của CyberArk Idaptive, các chính sách kiểm soát truy cập vào các ứng dụng và điểm cuối cũng như có thể được định cấu hình để cho phép SSO truy cập vào tài nguyên, thách thức người dùng bằng MFA hoặc chặn hoàn toàn quyền truy cập. Xác định thời điểm thách thức người dùng với MFA dựa trên các điều kiện được xác định trước như vị trí, thiết bị, ngày trong tuần, thời gian trong ngày và thậm chí cả hành vi rủi ro của người dùng.

Khách hàng yêu cầu lựa chọn các phương pháp xác thực để làm cho MFA trở nên đơn giản và dễ sử dụng nhất có thể. Nền tảng truy cập thế hệ mới của CyberArk Idaptive cung cấp sự linh hoạt để lựa chọn nhiều phương pháp xác thực khác nhau. Chọn từ thông báo đẩy đến thiết bị di động (Push Notification) ; Mobile Token cài trên các thiết bị di động (iOS, Android), SMS / tin nhắn văn bản hoặc gửi OTP qua email; cuộc gọi điện thoại tương tác, câu hỏi bảo mật, Hardware Token, khóa bảo mật FIDO U2F, SmartCard, bao gồm thông tin đăng nhập có nguồn gốc. Điều này giúp khách hàng được bảo vệ tốt hơn đồng thời giúp việc sử dụng đơn giản hơn.

Hình 9: CyberArk Idaptive cho phép cấu hình lựa chọn gửi OTP qua các kênh khác nhau

Mô hình kết nối:

Idaptive SSO

Idaptive không chỉ cung cấp giải pháp đăng nhập một lần (SSO) dễ quản lý để truy cập bằng một cú nhấp chuột vào tất cả các ứng dụng – đám mây, thiết bị di động, mà còn bảo mật và nhận biết rủi ro. Idaptive SSO thúc đẩy hành vi và thuộc tính người dùng một cách duy nhất, cho phép trải nghiệm người dùng dễ dàng được điều chỉnh dựa trên rủi ro, cải thiện năng suất và hợp lý hóa quyền truy cập rủi ro thấp với tính năng đăng nhập một lần thích ứng. Các giải pháp Idaptive SSO cung cấp khả năng bảo mật, đơn giản và kiểm soát. CNTT có một nơi để quản lý tất cả các tài khoản và thiết bị. Người dùng có thể đăng nhập một lần trên đám mây và các ứng dụng dành cho thiết bị di động từ mọi thiết bị ở bất kỳ đâu. Cân bằng giữa bảo mật chặt chẽ hơn với trải nghiệm người dùng liền mạch thông qua một bộ tích hợp các khả năng đã được kiểm chứng. Trải nghiệm quản lý truy cập thông minh hơn với Idaptive

Hình 10: Idaptive SSO

Nguyên lý hoạt động

Nguyên lý hoạt động của hệ thống được mô tả theo 5 quy trình sau:

Định nghĩa chính sách về mật khẩu cho các thiết bị trong toàn hệ thống

Hình 11: Qui trình định nghĩa chính sách về mật khẩu

  • Adminitrator của hệ thống IT đăng nhập vào PVWA để định nghĩa các chính sách về mật khẩu cho các thiết bị trong toàn hệ thống.
  • Chính sách về mật khẩu sẽ được lưu tại Vault Server và được đẩy xuống CPM

Quy trình khởi tạo và reset lại mật khẩu cho các thiệt bị trong hệ thống

Hình 12: Quy trình khởi tạo & reset lại mật khẩu

  • Khi các thiết bị trong hệ thống công nghệ thông tin của SHB Finance được quản lý bởi hệ thống quản lý mật khẩu đặc quyền, Module CPM sẽ sinh ra các mật khẩu mới (dựa trên chính sách về mật khẩu được Administrator định nghĩa) và đẩy các mật khẩu này xuống các thiết bị, đồng thời các mật khẩu này cũng được CPM đẩy về phía Vault Server để lưu lại.

Quy trình yêu cầu mật khẩu từ nhân viên IT để sử dụng (Dual Control)

Hình 13: Quy trình yêu cầu cấp mật khẩu từ nhân viên IT

  • Nhân viên IT khi muốn đăng nhập vào thiết bị trong hệ thống, họ sẽ phải đăng nhập vào PVWA để lấy mật khẩu tương ứng với thiết bị do họ quản lý.
  • Trong trường hợp họ muốn quản lý thiết bị khác, họ sẽ phải viết một thông báo gửi tới quản trị hệ thống PIM (Một email sẽ được tự động gửi tới quản trị hệ thống PIM).
  • Sau khi quản trị hệ thống PIM chấp nhận thì nhân viên IT mới được phép lấy mật khẩu để truy cập vào thiết bị (Đây chính là quy trình kiểm soát kép – Dual Control). Quá trình này sẽ được hệ thống xác thực ghi lại thông qua ticket, phục vụ cho mục đích truy vết sau này.
  • Sau khi nhân viên IT sử dụng xong mật khẩu, Module CPM sẽ tự động thay đổi mật khẩu của thiết bị đó

Truy cập tới thiết bị thông qua SSO (single sign on)

Hình 14: Truy cập tới thiết bị CNTT thông qua giao diện PVWA

  • Đây là một ưu điểm giải pháp, giúp tăng tính bảo mật cho toàn hệ thống. Nhân viên IT vẫn có quyền truy cập và thiết bị do họ quản lý nhưng họ không cần phải biết mật khẩu đăng nhập vào thiết bị đó.
  • Họ sẽ đăng nhập vào PVWA, sau đó sẽ kết nối trực tiếp tới thiết bị thông qua giao thức truy cập từ xa như SSH, RDP chỉ bằng thao tác đơn giản là click chuột.
  • Sau khi đăng nhập thành công, mọi thao tác của nhân viên IT trên thiết bị đó sẽ được ghi lại dưới dạng video cho phép các quản trị cấp cao xem lại trong trường hợp cần kiểm soát, theo dõi hành vi của nhân viên IT đã thao tác những gì trên thiết bị.

Thống kê, báo cáo

Hình 15: Tính năng báo cáo của hệ thống

  • CyberArk cung cấp các chức năng báo cáo, thông kê đầy đủ.
  • Auditor có thể xem, lập các thông kê về số lượng thiết bị được quản lý mật khẩu…
Linh Vu Thuy

Linh Vu Thuy