Trong phần trước của loạt bài này, chúng ta đã thảo luận về tầm quan trọng của mật mã và môi trường Thực thi Tin cậy (Trusted Execution) đối với một nền tảng Zero Trust vững chắc. Giờ đây, chúng ta sẽ xây dựng trên nền tảng đó với Quản lý Danh tính và Truy cập (IAM), yếu tố then chốt của bất kỳ khuôn khổ bảo mật mạnh mẽ nào—đặc biệt là trong các hệ thống AI, nơi việc xác minh chính xác các mảng tương tác rộng lớn là không thể thương lượng. Trong bài viết áp chót này của loạt bài, chúng ta sẽ tập trung vào các khả năng IAM của VxRail và cách chúng đóng vai trò là tuyến phòng thủ đầu tiên cho cả AI và môi trường doanh nghiệp truyền thống.

IAM bao gồm ba yếu tố:

1. Xác thực
2. Ủy quyền
3. Kiểm toán

Xác thực

Mục đích của xác thực là xác nhận rằng thực thể đang cố gắng truy cập vào một tài nguyên được nhận dạng và công nhận là người dùng hợp pháp. Một hình thức tương đương về mặt vật lý là quét thẻ để vào tòa nhà. Xác thực yêu cầu thực thể xuất trình bằng chứng nhận dạng, sau đó được kiểm tra và xác định là hợp lệ hay không.

Chứng chỉ

Cách cơ bản nhất để một thực thể chứng minh họ được phép truy cập vào thế giới ảo là nhập thông tin đăng nhập tên người dùng và mật khẩu. Đây là một kỹ thuật cũ vẫn còn được sử dụng cho đến ngày nay. Hầu hết các tổ chức đều có các quy tắc và quy trình để đảm bảo mật khẩu đủ phức tạp và được thay đổi thường xuyên. Mặc dù hình thức xác thực này là phổ biến nhất, nhưng nó cũng được coi là kém an toàn nhất trong số các phương pháp và thông tin xác thực hiện đại.

Các tổ chức có tư duy bảo mật trưởng thành và tiên tiến hơn nhận ra rằng việc sử dụng mật khẩu không phải là một biện pháp kiểm soát bảo mật đủ mạnh. Do đó, họ sẽ bổ sung thêm các lớp bảo mật với các tùy chọn thông tin xác thực mạnh hơn và xác thực đa yếu tố (MFA). MFA là một cách bổ sung các yếu tố nhận dạng bổ sung cho các kỹ thuật xác thực tiêu chuẩn. Các yếu tố này thường được hiểu như sau:

• Một cái gì đó bạn biết – ví dụ:
  • Mật khẩu
  • Ghim
• Một cái gì đó bạn có – ví dụ:
  • Chứng chỉ số
  • Mã thông báo do ứng dụng tạo ra
• Một cái gì đó bạn là – ví dụ:
  • Dấu vân tay
  • Quét mống mắt

Khi các tổ chức cần nâng cấp bảo mật xác thực, họ sẽ chọn yêu cầu loại thông tin xác thực từ hai hoặc nhiều yếu tố khác nhau.  

Đăng nhập một lần

Xác thực đa yếu tố là kỹ thuật xác thực người dùng vững chắc; tuy nhiên, khi các thực thể di chuyển từ tài nguyên này sang tài nguyên khác, chúng thường yêu cầu nhiều bộ thông tin xác thực cho nhiều ứng dụng khác nhau. Điều này không chỉ đặt ra vấn đề về khả năng sử dụng thực tế cho cả xác thực và quản lý người dùng mà còn tạo ra thêm các đường dẫn đến lỗ hổng bảo mật. Các tổ chức và ứng dụng sử dụng Đăng nhập một lần (SSO) để giải quyết những vấn đề này. SSO là một phương pháp dựa trên tiêu chuẩn yêu cầu người dùng xác thực với Nhà cung cấp danh tính đáng tin cậy trên nhiều ứng dụng và triển khai. Thực thể đáng tin cậy này nắm giữ và cung cấp thông tin xác thực phù hợp thay mặt cho người dùng, do đó tránh được nhu cầu xác thực lại; và Nhà cung cấp danh tính nâng cao có thể được cấu hình để thử thách người dùng với tất cả các loại cơ chế xác thực. Cuối cùng, SSO cho phép đăng nhập liền mạch trên các khối lượng công việc khác nhau và quản lý người dùng đơn giản hơn.  

Với VxRail, Xác thực được xử lý bởi vCenter SSO để điều phối quyền truy cập vào plug-in vCenter và API VxRail. vCenter hỗ trợ hệ thống quản lý danh tính tập trung của tổ chức theo các chính sách bảo mật xác thực, đồng thời cho phép sử dụng các dịch vụ thư mục như Microsoft AD hoặc LDAP. VxRail hỗ trợ xác thực đa yếu tố (MFA) thông qua tích hợp vSphere với các giải pháp MFA của đối tác.

Ủy quyền

Chiều thứ hai của IAM là Ủy quyền. Nếu Xác thực là việc xác thực bằng chứng nhận dạng, thì Ủy quyền là việc xác thực quyền truy cập. Hệ quả vật lý sẽ là việc sử dụng cùng một thẻ cho phép truy cập vào một tòa nhà để sau đó cho phép truy cập vào một không gian được bảo vệ như phòng thí nghiệm. Ủy quyền đánh giá nội dung của thông tin xác thực để xác định xem thực thể có nắm giữ các đặc quyền xác định quyền truy cập vào tài nguyên được yêu cầu hay không.

Có nhiều cơ chế kiểm soát truy cập khác nhau, nhưng chúng thường được chia thành ba loại cơ bản:

• Danh sách Kiểm soát Truy cập (ACL) – một cơ chế dựa trên quy tắc để kiểm soát và quản lý quyền truy cập vào tài nguyên, thường là tệp, thư mục hoặc thiết bị mạng. Các danh sách này có thể đơn giản và cơ bản hoặc tương đối phức tạp và linh hoạt.  
• Kiểm soát Truy cập Dựa trên Vai trò (RBAC) – một cơ chế thường được sử dụng để áp dụng các tập hợp quyền và quy tắc chi tiết về quyền truy cập mà người dùng và/hoặc nhóm người dùng được phép. RBAC khác với ACL ở chỗ các quyền kiểm soát nằm trên người dùng chứ không phải trên tài nguyên.   
• Kiểm soát truy cập dựa trên thuộc tính (ABAC) – một cơ chế kiểm soát truy cập tương đối mới sử dụng “thuộc tính” được gán cho người dùng và tài nguyên với những thuộc tính bắt nguồn từ môi trường để đưa vào các quy tắc dùng để tính toán quyền truy cập của một thực thể vào tài nguyên.   

VxRail cung cấp các tùy chọn kiểm soát truy cập tích hợp thông qua khả năng RBAC mạnh mẽ và linh hoạt của vSphere.

Kiểm toán

Kiểm toán là khía cạnh thường bị bỏ qua của IAM, đại diện cho các công cụ và quy trình quản trị. Kiểm toán đảm bảo rằng các biện pháp kiểm soát bảo mật cơ sở hạ tầng, bao gồm cả Xác thực và Ủy quyền, được duy trì tốt và hoạt động hiệu quả. Việc cấu hình ban đầu các biện pháp kiểm soát bảo mật thường được cân nhắc kỹ lưỡng và thực hiện cẩn thận; tuy nhiên, theo thời gian, nhu cầu thay đổi, cấu hình bị lãng quên hoặc áp dụng sai, hoặc cơ sở hạ tầng phát triển vượt xa thiết kế ban đầu. Trong những trường hợp này, điều cần thiết là phải có các quy trình và thủ tục cơ sở hạ tầng để đảm bảo rằng các biện pháp kiểm soát và cấu hình bảo mật phát triển và được cập nhật phù hợp. Các công cụ mà tổ chức có thể tận dụng để cung cấp sự đảm bảo đó thường là:

• Ghi nhật ký và giám sát – nhật ký, giám sát, cảnh báo và báo cáo đều rất quan trọng để phát hiện sớm hành vi bất thường nhằm giải quyết các vi phạm bảo mật đang diễn ra và/hoặc để phân tích nguyên nhân gốc rễ sau sự cố nhằm đưa ra những thay đổi và cập nhật cần thiết cho biện pháp kiểm soát bảo mật nhằm ngăn ngừa sự cố tái diễn.
• Kiểm toán quản lý bảo mật và thay đổi – điều tra nội bộ và bên ngoài thường xuyên về cấu hình kiểm soát bảo mật và các hoạt động thay đổi
• Đánh giá cấu hình và quyền truy cập – điều tra liên tục để đảm bảo rằng cấu hình hiện tại và mức độ truy cập của người dùng phù hợp cho việc triển khai an toàn.
• Quét lỗ hổng và kiểm tra xâm nhập – các công cụ và hoạt động để chủ động xác định các luồng đến trung tâm dữ liệu.

Mặc dù Kiểm toán (Audit) chủ yếu là một thành phần quy trình do khách hàng điều khiển của IAM, VxRail vẫn cung cấp các công cụ hỗ trợ. VxRail cung cấp khả năng tích hợp dễ dàng vào hệ thống ghi nhật ký tập trung thông qua Quản lý Sự kiện và Thông tin Bảo mật (SIEM), bao gồm hỗ trợ công cụ vRealize Log Insight của VMware. Các sự kiện và cảnh báo này có thể bắt nguồn từ cả PowerEdge iDRAC và khả năng quản lý sự kiện vSphere của VMware. Ngoài ra, như đã thảo luận trong phần Bảo mật Chuỗi Cung ứng, vòng đời phát triển an toàn của Dell bao gồm quét lỗ hổng bảo mật và kiểm tra thâm nhập thường xuyên, thường bổ sung cho các hoạt động tương tự do khách hàng của chúng tôi điều hành.   

IAM là nền tảng của Zero Trust, rất quan trọng đối với mọi trường hợp sử dụng cơ sở hạ tầng và là điều bắt buộc đối với AI. Khả năng xác thực danh tính, kiểm soát quyền truy cập và giám sát hoạt động trên mô hình AI là nền tảng cơ bản để bảo vệ chống lại các hướng tấn công AI. Không có IAM, sẽ không thể tin tưởng AI.

Trong phần kết thúc của loạt bài này, chúng tôi sẽ tổng hợp tất cả các bài học kinh nghiệm và tập trung vào tầm nhìn về bảo mật VxRail—thảo luận về quy trình quan trọng của việc củng cố dựa trên tiêu chuẩn và dự đoán các mối đe dọa trong tương lai.

Tác giả : Joann Kent, Trưởng phòng Sản phẩm An ninh mạng