Hoàng Doanh
Intern
1. Key Features - Những Gì PAM Cung Cấp Cho Người Dùng và Admin
1.1 PAM Limitations
2. Protocols and Integrations - Giao Thức Và Tích Hợp
3. Các Nguyên Tắc Triển Khai PAM (Best Practices)
Nếu Section trước giải thích các thành phần kiến trúc, thì Section này tập trung vào giá trị sử dụng - những tính năng mà Security team, Admin team và Auditor thực sự tương tác hàng ngày.
Approval Workflow
Không phải mọi truy cập đặc quyền đều cần approval, nhưng với môi trường nhạy cảm, đây là lớp kiểm soát quan trọng. PAM cho phép cấu hình workflow theo nhiều cấp và điều kiện: Development tự động approve, Staging cần một cấp, Production cần hai cấp với deadline. Workflow tích hợp với email, Slack, ServiceNow, Jira - người phê duyệt không cần vào PAM portal. Quan trọng: mọi approval đều được ghi lại với timestamp và người phê duyệt cụ thể.
Just-in-Time (JIT) Access
Thay vì cấp Domain Admin thường trực, PAM hiện thực hoá JIT bằng cách tạo tài khoản tạm thời hoặc nâng quyền tạm thời chỉ trong khoảng thời gian được phê duyệt. Ví dụ: Developer cần sudo trên server production trong 2 giờ để debug - PAM add user vào group sudoers trong 2 giờ rồi tự động remove. Kể cả nếu tài khoản bị compromise trong khoảng thời gian không có quyền, kẻ tấn công không thể làm được gì đặc biệt.
Command Filtering
Command Filter là tính năng kiểm soát cấp độ lệnh trong phiên SSH hoặc database session. Khi được kích hoạt, PAM intercept các lệnh được gõ, đối chiếu với rule được cấu hình, và quyết định: cho phép, cảnh báo, hoặc block. Ví dụ điển hình: rm -rf / hoặc DROP DATABASE có thể kích hoạt terminate session và alert đến Security team, tùy theo policy. Đây là lớp bảo vệ bổ sung - hiệu quả nhất khi kết hợp với các kiểm soát ở các lớp trước.
Break Glass Access
Break Glass là cơ chế truy cập khẩn cấp - "phá kính trong trường hợp khẩn cấp". Khi hệ thống PAM gặp sự cố hoặc cần truy cập tức thì mà không thể qua approval workflow thông thường, Break Glass credential cho phép bypass quy trình bình thường. Nhưng: sử dụng Break Glass kích hoạt alert tức thì đến Security team và Leadership, toàn bộ session được record với mức ưu tiên cao nhất, và người dùng phải điền lý do chi tiết sau đó. Break Glass là "an toàn nhưng có trách nhiệm" - không phải đường tắt ẩn danh.
Secret Management và Machine Identity
Đây là phần PAM hiện đại mở rộng xa hơn quản lý tài khoản người dùng. Không chỉ người dùng - máy móc và ứng dụng cũng cần credential đặc quyền: ứng dụng web cần DB_PASSWORD, pipeline CI/CD cần SSH key hoặc cloud API key, Kubernetes pod cần service account token. Tất cả đều là attack surface nếu không được quản lý đúng.
Truyền thống, những secrets này được lưu trong biến môi trường, file config, hoặc CI/CD secret store - phân tán, khó audit, và thường không được rotate. PAM hiện đại (hoặc Secret Management engine như HashiCorp Vault, CyberArk Conjur) tập trung hóa toàn bộ machine secrets này, cung cấp dynamic secrets (credential tự expire sau vài giờ), và secret injection vào runtime thay vì hard-code.
Reporting & Compliance
PAM tự động tổng hợp dữ liệu phục vụ audit: ai đã truy cập hệ thống nào, khi nào, trong bao lâu, được ai phê duyệt, thực hiện lệnh gì. Báo cáo có thể được export theo format yêu cầu của từng tiêu chuẩn (PCI DSS, SOX, ISO 27001) và lên lịch gửi tự động trước mỗi kỳ audit. Thay vì tốn hàng tuần chuẩn bị bằng tay, auditor nhận được báo cáo đầy đủ trong vài phút.
1.1 PAM Limitations
Hiểu rõ giới hạn của PAM quan trọng không kém hiểu tính năng của nó. PAM không phải là một giải pháp bảo mật toàn diện mà là một thành phần chuyên biệt tập trung vào việc quản lý và bảo vệ tài khoản đặc quyền. Do đó, PAM không thay thế các giải pháp bảo mật khác trong doanh nghiệp.
PAM có thể thực hiện các chức năng sau, nhưng không thay thế các hệ thống tương ứng:
- Quản lý và bảo vệ privileged credential, nhưng không thay thế IAM, vốn chịu trách nhiệm quản lý danh tính và tài khoản người dùng thông thường.
- Session Recording và Session Monitoring, nhưng không thay thế EDR/XDR, vì PAM không phát hiện hoặc ngăn chặn malware trên endpoint.
- Tự động Password Rotation, nhưng không thay thế hệ thống MFA hoặc Identity Provider (IdP), mà chỉ tích hợp để tăng cường xác thực.
- Approval Workflow và kiểm soát truy cập đặc quyền, nhưng không thay thế SIEM, vốn có nhiệm vụ thu thập, tương quan và phân tích log từ nhiều nguồn.
- Thực thi nguyên tắc Least Privilege và Just-in-Time Access, nhưng không thay thế Firewall hoặc Network Security, vì PAM không kiểm soát lưu lượng mạng.
- Credential Injection, giúp người dùng không cần biết mật khẩu thật, nhưng không thay thế DLP, vốn bảo vệ dữ liệu khỏi nguy cơ rò rỉ hoặc sao chép trái phép.
- Audit Trail và Session Log, nhưng không thay thế IGA, vốn quản lý toàn bộ vòng đời cấp phát và thu hồi quyền truy cập trong tổ chức.
PAM phát huy hiệu quả cao nhất khi được triển khai như một thành phần trong hệ sinh thái bảo mật doanh nghiệp. Thông thường, PAM tích hợp với IAM để sử dụng danh tính người dùng, IdP/MFA để xác thực, SIEM để phân tích nhật ký, IGA để tiếp nhận yêu cầu cấp quyền và EDR/XDR để hỗ trợ phát hiện các hành vi bất thường trên endpoint. Nhờ đó, doanh nghiệp có thể xây dựng một mô hình phòng thủ nhiều lớp (Defense in Depth) thay vì phụ thuộc vào một giải pháp duy nhất.
Để thực hiện các tích hợp này, PAM hỗ trợ nhiều giao thức như SSH, RDP, LDAP, SAML và các giao thức kết nối cơ sở dữ liệu. Việc hiểu rõ phạm vi hỗ trợ của từng giao thức giúp xác định chính xác khả năng kiểm soát và phạm vi triển khai của PAM trong môi trường doanh nghiệp.
2. Protocols and Integrations - Giao Thức Và Tích Hợp
PAM phải proxy và audit nhiều loại traffic khác nhau. Hiểu nhóm protocol giúp bạn biết PAM hỗ trợ kết nối đến đâu và giới hạn của từng loại.
Remote Session Protocols
- SSH (Port 22) là giao thức phổ biến nhất cho Linux/Unix và thiết bị mạng. PAM SSH Proxy nhận connection từ admin, lấy SSH key từ Vault, mở connection riêng biệt đến server đích, và ghép hai luồng lại - toàn bộ keystroke và output đi qua Proxy. Hỗ trợ SCP/SFTP qua cùng session. Đây là mode trong tình huống của Alex.
- RDP (Port 3389) là giao thức remote desktop cho Windows. PAM RDP Gateway nhận connection qua HTTPS/443 (RDP over TLS), proxy đến Windows Server đích, và thực hiện video recording tại tầng gateway - không cần agent trên server. Hỗ trợ kiểm soát clipboard và disk redirection.
- VNC (Port 5900) được dùng cho remote GUI trên Linux/Mac. PAM proxy với video recording, nhưng command filtering bị hạn chế vì VNC truyền pixel stream thay vì text.
Identity và Authentication Integration
- LDAP/LDAPS: PAM dùng LDAP để đồng bộ user và group từ Active Directory. LDAPS (LDAP over TLS) được khuyến nghị cho môi trường production. Mỗi lần đăng nhập, PAM validate credential trực tiếp với LDAP server - không lưu password cục bộ.
- Kerberos: Trong Windows domain, PAM có thể sử dụng Kerberos ticket của người dùng để xác thực SSO - không cần nhập lại password. Quan trọng khi PAM kết nối đến Windows Server đích qua RDP.
- SAML 2.0 / OIDC: PAM đóng vai Service Provider (SP), tin tưởng assertion từ Identity Provider (Okta, Entra ID, ADFS). Người dùng đăng nhập một lần vào IdP, PAM nhận assertion và cho vào portal. OIDC hoạt động tương tự với cloud IdP. Đây là cách tích hợp PAM vào hệ sinh thái SSO hiện có của doanh nghiệp.
- OAuth 2.0: Được dùng cho machine-to-machine authentication - ứng dụng hoặc script lấy credential từ PAM API mà không cần interactive login.
- RADIUS / TACACS+: Dùng cho tích hợp MFA server và quản lý thiết bị mạng. TACACS+ thường được ưa dùng trong môi trường network device vì mã hoá toàn bộ packet và tách biệt AAA thành ba luồng độc lập.
Database Proxy
PAM Database Proxy hoạt động tương tự SSH Proxy: DBA kết nối đến PAM DB Proxy (pam-dbproxy:1433) thay vì kết nối thẳng đến database server. PAM authenticate, lấy credential từ Vault, inject vào kết nối thực, và proxy toàn bộ traffic - cho phép log SQL query và block các statement nguy hiểm theo policy.
File Transfer
SCP và SFTP chạy trên nền SSH nên được proxy và audit tự động khi PAM proxy SSH session - PAM log tên file, kích thước, hướng transfer. Một số giải pháp PAM hỗ trợ tích hợp DLP để kiểm soát nội dung file trước khi cho phép transfer.
3. Các Nguyên Tắc Triển Khai PAM (Best Practices)
Triển khai PAM bắt đầu bằng việc hiểu rõ môi trường của mình và áp dụng nguyên tắc đúng từ đầu.
Discovery trước, deployment sau: Bước đầu tiên là tìm ra tất cả tài khoản đặc quyền đang tồn tại trong tổ chức - thường nhiều hơn bạn nghĩ. Service account được tạo cho project cũ, local admin account trên từng máy chủ, API key tồn tại trong code base từ nhiều năm trước. PAM không thể bảo vệ credential mà nó không biết đến.
Least Privilege: Sau khi onboard credential vào Vault, rà soát và giảm quyền của từng tài khoản về mức tối thiểu cần thiết. Thực hiện Access Review định kỳ (ít nhất mỗi quý): ai vẫn còn cần quyền đã được cấp? Công việc của họ có thay đổi không?
Tối thiểu hoá ngoại lệ MFA: Các tiêu chuẩn compliance như PCI DSS v4.0 và ISO 27001 yêu cầu MFA cho tài khoản đặc quyền. Trong thực tế, ngoại lệ MFA đôi khi cần thiết cho emergency access hoặc break glass scenario - nhưng phải được kiểm soát chặt chẽ, documented, và reviewed định kỳ. Nếu MFA gây bất tiện trong workflow thông thường, giải pháp là cải thiện UX của MFA (push notification, FIDO2 hardware key) chứ không phải loại bỏ nó.
Check-out/Check-in model cho credential nhạy cảm nhất: Với tài khoản đặc biệt quan trọng (Domain Admin, Database SA), áp dụng mô hình check-out: mật khẩu chỉ được giải mã khi admin "check-out" cho phiên cụ thể, và tự động thay đổi khi "check-in" sau phiên. Không ai có thể giữ credential qua đêm.
Thiết kế Approval Workflow phù hợp với văn hóa tổ chức: Workflow quá phức tạp sẽ bị bypass thường xuyên qua Break Glass. Nguyên tắc là: Development có thể tự approve, nhưng Production phải có approval từ người khác. Thời gian approval phải đủ nhanh để không cản trở công việc khẩn cấp.
Bảo vệ Audit Log: Log PAM không nên lưu duy nhất trên PAM server - nên được push sang SIEM hoặc secure log storage ngay lập tức. Trong môi trường tuân thủ nghiêm ngặt, log được replicate sang môi trường off-site và PAM admin không có quyền xóa hay sửa log. Cấu hình cụ thể phụ thuộc vào yêu cầu compliance và khả năng của sản phẩm.
Session Recording coverage: Xác định rõ scope recording ngay từ đầu: những hệ thống nào cần record, retention bao lâu, ai có quyền xem lại. Bắt đầu với coverage rộng rồi tinh chỉnh theo nhu cầu và storage cost.
Integrate PAM với quy trình Change Management: Yêu cầu truy cập Production nên liên kết với Change Ticket (ServiceNow, Jira). Điều này tạo audit trail kép: PAM biết ai đã truy cập, Change Management biết tại sao và theo kế hoạch nào.
Bài viết liên quan
Được quan tâm
Bài viết mới