Nguyễn thanh tùng
Intern
I. Giới thiệu
Giải pháp PAM (Privileged Access Management) là một trong những thành phần quan trọng trong quản lý bảo mật CNTT, nhằm kiểm soát và giám sát quyền truy cập đặc quyền tới hệ thống, thiết bị, ứng dụng và dữ liệu nhạy cảm. Các giao thức liên quan đến giải pháp PAM thường được sử dụng để đảm bảo việc xác thực, ủy quyền, quản lý phiên và ghi nhật ký hoạt động một cách an toàn.
II.Các giao thức liên quan đến giải pháp PAM
1. Giao thức xác thực và ủy quyền
Xác thực và uỷ quyền là các cơ chế dùng để xác minh danh tính và quyền truy cập vào tài nguyên. Tài liệu này xác định các thuật ngữ chính mà bạn nên biết trước khi triển khai quy trình xác thực và uỷ quyền trong ứng dụng.
Xác thực xác định ai đang đưa ra yêu cầu. Uỷ quyền xác định những tài nguyên mà bên yêu cầu có thể truy cập và cấp truy cập mà họ có. Xác thực là điều kiện tiên quyết để cấp quyền. Bạn không thể xác định tài nguyên nào cần truy cập nếu không xác lập danh tính của người yêu cầu trước.
Hình 1. Các bước cấp cao của quy trình triển khai xác thực và uỷ quyền
Giải pháp PAM (Privileged Access Management) là một trong những thành phần quan trọng trong quản lý bảo mật CNTT, nhằm kiểm soát và giám sát quyền truy cập đặc quyền tới hệ thống, thiết bị, ứng dụng và dữ liệu nhạy cảm. Các giao thức liên quan đến giải pháp PAM thường được sử dụng để đảm bảo việc xác thực, ủy quyền, quản lý phiên và ghi nhật ký hoạt động một cách an toàn.
II.Các giao thức liên quan đến giải pháp PAM
1. Giao thức xác thực và ủy quyền
Xác thực và uỷ quyền là các cơ chế dùng để xác minh danh tính và quyền truy cập vào tài nguyên. Tài liệu này xác định các thuật ngữ chính mà bạn nên biết trước khi triển khai quy trình xác thực và uỷ quyền trong ứng dụng.
Xác thực xác định ai đang đưa ra yêu cầu. Uỷ quyền xác định những tài nguyên mà bên yêu cầu có thể truy cập và cấp truy cập mà họ có. Xác thực là điều kiện tiên quyết để cấp quyền. Bạn không thể xác định tài nguyên nào cần truy cập nếu không xác lập danh tính của người yêu cầu trước.
Tổng quan về quy trình
Sơ đồ sau đây cho thấy các bước cấp cao của quy trình xác thực và uỷ quyền cho API Google Workspace:
- Định cấu hình dự án và ứng dụng Google Cloud: Trong quá trình phát triển, bạn đăng ký ứng dụng của mình trong Google Cloud Console, xác định phạm vi uỷ quyền và thông tin xác thực truy cập để xác thực ứng dụng bằng khoá API, thông tin xác thực người dùng cuối hoặc thông tin xác thực tài khoản dịch vụ.
- Xác thực ứng dụng của bạn để truy cập: Khi ứng dụng của bạn chạy, thông tin xác thực truy cập đã đăng ký sẽ được đánh giá. Nếu ứng dụng của bạn đang xác thực dưới dạng người dùng cuối, thì lời nhắc đăng nhập có thể xuất hiện.
- Yêu cầu tài nguyên: Khi cần quyền truy cập vào tài nguyên của Google, ứng dụng sẽ yêu cầu Google bằng cách sử dụng các phạm vi truy cập có liên quan mà bạn đã đăng ký trước đó.
- Yêu cầu người dùng đồng ý: Nếu ứng dụng của bạn đang xác thực dưới dạng người dùng cuối, Google sẽ hiển thị màn hình yêu cầu sự đồng ý bằng OAuth để người dùng có thể quyết định có cấp cho ứng dụng của bạn quyền truy cập vào dữ liệu được yêu cầu hay không.
- Gửi yêu cầu đã phê duyệt cho tài nguyên: Nếu người dùng đồng ý với phạm vi truy cập, thì ứng dụng của bạn sẽ gói thông tin xác thực và phạm vi truy cập đã được người dùng phê duyệt vào một yêu cầu. Yêu cầu này được gửi đến máy chủ uỷ quyền của Google để lấy mã truy cập.
- Google trả về mã truy cập: Mã truy cập chứa danh sách các phạm vi truy cập đã cấp. Nếu danh sách phạm vi được trả về bị hạn chế hơn phạm vi truy cập đã yêu cầu, thì ứng dụng của bạn sẽ tắt mọi tính năng bị giới hạn bởi mã thông báo.
- Truy cập vào tài nguyên được yêu cầu: Ứng dụng của bạn sử dụng mã truy cập của Google để gọi các API có liên quan và truy cập vào tài nguyên.
- Nhận mã làm mới (không bắt buộc): Nếu cần quyền truy cập vào một API của Google sau thời gian hoạt động của một mã truy cập, thì ứng dụng của bạn có thể nhận được mã làm mới.
- Yêu cầu thêm tài nguyên: Nếu cần thêm quyền truy cập, ứng dụng sẽ yêu cầu người dùng cấp các phạm vi truy cập mới, dẫn đến một yêu cầu mới để nhận mã truy cập (các bước 3–6).
2. Giao thức truy cập từ xa là gì?
Giao thức truy cập từ xa cho phép kết nối giữa các thiết bị và máy chủ từ xa . Giao thức đặt ra các điều kiện để truyền các gói dữ liệu, cho phép người lao động truy cập vào máy tính để bàn được lưu trữ trên các trung tâm dữ liệu tập trung. Nhiều giao thức cũng tăng cường bảo mật bằng cách áp dụng mã hóa để ẩn lưu lượng truy cập khỏi người ngoài.Các loại giao thức truy cập từ xa phổ biến
Hầu như mọi thiết bị đều có giao thức truy cập từ xa tích hợp sẵn. Windows sử dụng Giao thức máy tính từ xa (RDP), trong khi Linux và Mac sử dụng Giao thức Secure Shell (SSH). Các giao thức có cài đặt mặc định, thường phù hợp với nhu cầu của người dùng. Tuy nhiên, có những trường hợp tùy chỉnh giao thức truy cập từ xa là điều cần thiết. Bạn cũng có thể thêm các giao thức bổ sung để cải thiện bảo mật hoặc đảm bảo khả năng tương thích với các hệ thống khác. Khi bạn không tuân theo các thiết lập mặc định, điều quan trọng là phải hiểu cách thức hoạt động của các giao thức truy cập từ xa. Hãy cùng khám phá các giao thức truy cập từ xa chính và cách sử dụng chúng.
Giao thức máy tính từ xa (RDP)
Microsoft đã tạo ra Giao thức máy tính từ xa vào năm 2012. RDP sử dụng thiết lập máy chủ và máy khách để tổ chức các kết nối được chia sẻ giữa các thiết bị từ xa và máy chủ trung tâm . Các kỹ sư sử dụng RDP để truy cập các thiết bị từ xa một cách an toàn và giao thức này hoạt động với Windows, Linux, Mac OS và thậm chí cả Android. RDP sử dụng chuyển tiếp cổng và giao thức truyền TCP/IP để gửi và nhận dữ liệu qua kênh mạng. Kênh này mang dữ liệu về các lần nhấn phím, chuyển động chuột và thông tin trực quan từ các máy chủ từ xa . Với RDP, người dùng không cần phải lưu trữ ứng dụng trên thiết bị của họ. Họ có thể truy cập các tài sản trung tâm thông qua RDP và làm việc thông qua máy tính từ xa.Vỏ bảo mật (SSH)
Giao thức truyền từ xa Secure Shell cho phép người dùng từ xa cung cấp hướng dẫn dòng lệnh đến các thiết bị trung tâm. Giao thức SSH mã hóa lệnh và cho phép truyền tệp an toàn. Các tính năng này làm cho nó trở thành một giao thức phổ biến để quản lý máy chủ. SSH cũng có thể là một lựa chọn tốt để truy cập từ xa an toàn . Giao thức SSH sử dụng khóa công khai và khóa riêng để xác thực kết nối. RDP dựa vào thông tin xác thực mật khẩu do người dùng từ xa cung cấp, có thể dễ bị đánh cắp hoặc tấn công bằng cách dùng vũ lực.Mạng máy tính ảo (VNC)
Giống như RDP, người dùng VNC điều khiển từ xa các ứng dụng được lưu trữ trên máy chủ trung tâm. Không giống như RDP, VNC sử dụng Giao thức đệm khung từ xa (RFB). Giao thức chia sẻ màn hình cho phép chụp thiết bị từ xa, cung cấp khả năng kiểm soát tốt hơn so với RDP. VNC phổ biến vì nó độc lập với nền tảng . Nhiều người dùng có thể kết nối với phiên bản VNC, bất kể hệ điều hành của họ là gì. Đây là lựa chọn phổ biến cho các nhóm CNTT hoặc dịch vụ khách hàng cần truy cập an toàn vào thiết bị của người dùng.Giao thức Internet Dòng Nối tiếp (SLIP)
SLIP là một trong những công nghệ truy cập từ xa lâu đời nhất, xuất hiện vào những năm 1980. Được sử dụng đầu tiên để kết nối các thiết bị Unix, SLIP vẫn là một cách phổ biến để kiểm soát việc truyền dữ liệu TCP/IP. SLIP tạo ra các đường dẫn điểm-điểm giữa các thiết bị nối tiếp . Giao tiếp nối tiếp hiếm khi được sử dụng trong công việc từ xa vì nó gặp khó khăn với các luồng dữ liệu nghe nhìn. Tuy nhiên, các công ty thường sử dụng kỹ thuật này để kiểm soát các thiết bị internet vạn vật do chi phí thấp và tính đơn giản của nó.Giao thức điểm-điểm (PPP)
Giao thức điểm-điểm sử dụng TCP/IP để tạo kết nối an toàn giữa các thiết bị từ xa và máy chủ trung tâm. Hoạt động ở lớp liên kết, PPP là giao thức dành cho Nhà cung cấp dịch vụ Internet. PPP là nền tảng của các công nghệ truy cập từ xa khác. Ví dụ, **Giao thức điểm-điểm qua Ethernet **(PPPoE) cho phép truyền tệp nhanh qua kết nối Ethernet. PPPoE cũng cho phép giám sát mạng để theo dõi hoạt động của người dùng.Mạng riêng ảo (VPN)
Mạng riêng ảo sử dụng các biến thể của Giao thức đường hầm điểm-điểm (PPTP) để tạo đường hầm an toàn giữa máy khách và máy chủ. Đường hầm tăng cường quyền riêng tư của người dùng bằng cách mã hóa dữ liệu và chỉ định địa chỉ IP mới . Các tính năng này khiến VPN trở thành một trong những giải pháp truy cập từ xa an toàn nhất. Tuy nhiên, các giao thức VPN không chuyên dụng cho truy cập máy tính từ xa. Chúng có xu hướng hoạt động cùng với RDP và các công nghệ truy cập từ xa khác. VPN truy cập từ xa tạo ra các cổng kỹ thuật số để bảo mật các hình thức truy cập từ xa khác . Điều đó đặc biệt hữu ích cho lực lượng lao động từ xa kết nối qua văn phòng tại nhà và mạng công cộng không an toàn.Vụ nổ VMWare
Blast là giao thức hiển thị ảo của VMWare và sử dụng chuẩn nén video H.264 để truyền dữ liệu video. Nén làm cho Blast trở thành một lựa chọn tốt nếu các công ty dựa vào hội nghị truyền hình và các cuộc họp ảo . Nó cũng phù hợp với truy cập máy tính từ xa với các nhu cầu hình ảnh phức tạp. VMWare Blast là nền tảng trung lập, hỗ trợ Linux, MacOS và Windows. Nó sử dụng khuôn khổ UDP và TCP/IP để truyền dữ liệu, trong khi các chức năng mã hóa và xác thực cung cấp bảo mật bổ sung.Citrix ICA
Citrix ICA là giao thức máy tính từ xa độc quyền tập trung vào truy cập máy tính để bàn hiệu suất cao. "Kiến trúc máy tính độc lập" giống với kiến trúc máy khách và máy chủ của RDP. Không giống như RDP cơ bản, Citrix ICA tối ưu hóa luồng dữ liệu cho đồ họa và âm thanh. Điều này làm giảm độ trễ và tăng cường hiệu quả.Bài viết liên quan
Bài viết mới