Kiểm soát truy cập – an toàn bảo mật cho tổ chức, doanh nghiệp

Khi kiểm soát quyền truy cập vào thông tin riêng tư của một tổ chức, bạn phải giải quyết cả quyền truy cập vật lý và logic. Quyền truy cập vật lý đề cập đến các tòa nhà, thiết bị và tài liệu trong khi quyền truy cập logic đề cập đến quyền truy cập máy tính hoặc hệ thống. Các công nghệ để xử lý từng loại quyền này khá khác nhau. Kiểm soát quyền truy cập vật lý sử dụng chìa khóa và phù hiệu để cấp quyền vào một không gian được bảo mật, trong khi kiểm soát quyền truy cập logic sử dụng các chương trình mật khẩu tiên tiến và các tính năng bảo mật sinh trắc học.

Thay vì xử lý quyền người dùng và quyền truy cập trong mỗi ứng dụng, các giải pháp quản lý danh tính và quyền truy cập đã giới thiệu một cách tập trung và mạnh mẽ hơn để quản lý danh tính và điều chỉnh mức độ truy cập của từng người dùng vào một hệ thống nhất định. Khi các điểm cuối gia tăng trên khắp tổ chức, được thúc đẩy bởi các chính sách mang theo thiết bị của riêng bạn và sự mở rộng trong việc sử dụng các thiết bị Internet vạn vật (IoT), cần có nhiều quyền kiểm soát hơn.

Giải pháp là kiểm soát truy cập mạng (NAC), cung cấp một cách để nhúng kiểm soát truy cập và các chính sách bảo mật điểm cuối trong cơ sở hạ tầng mạng của tổ chức. Điều này có nghĩa là khi người dùng cố gắng kết nối với mạng, hệ thống NAC sẽ giữ kết nối trong khi thực hiện đánh giá rủi ro.

Lý do cần sử dụng kiểm soát truy cập

Với lượng lớn dữ liệu nhạy cảm được lưu trữ điện tử, nhu cầu bảo vệ tài sản thông tin của chúng ta chưa bao giờ lớn đến thế. Các mối đe dọa mạng phát triển hàng ngày, đòi hỏi biện pháp an toàn ngày càng nghiêm ngặt hơn và các khóa, mật khẩu đơn giản không còn hiệu quả nữa. Những gì cần bây giờ là một hệ thống kiểm soát truy cập mạnh mẽ có thể giúp bảo mật dữ liệu vật lý và dữ liệu bí mật, giảm chi phí quản trị và giữ an toàn cho khách hàng, nhân viên.

Kiểm soát truy cập cũng giúp các tổ chức đáp ứng yêu cầu tuân thủ theo quy định, chẳng hạn như PCI DSS (Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán) và HIPAA (Đạo luật về khả năng chuyển đổi và trách nhiệm giải trình bảo hiểm y tế). Ở một cấp độ khác, tiêu chuẩn ISO/IEC 27001 về bảo mật thông tin cũng yêu cầu ban quản lý phải kiểm toán, sau đó giảm thiểu tất cả lỗ hổng và rủi ro mạng của tổ chức.

Hoạt động của kiểm soát truy cập

Bảo vệ danh tính là chức năng cốt lõi của quản lý danh tính, cung cấp một số khu vực kiểm soát truy cập để làm rõ loại quyền truy cập nào đang được cấp và cấp cho ai. Đây chỉ là định nghĩa hời hợt về kiểm soát truy cập, vì vậy hãy xem xét sâu hơn về cách thức hoạt động của nó. Quản lý danh tính (IdM) phân biệt giữa kiểm soát truy cập vào tài nguyên trong một miền và kiểm soát truy cập vào chính cấu hình IdM.

Để đơn giản hóa việc triển khai các quy tắc kiểm soát truy cập, quản lý danh tính chia các định nghĩa kiểm soát truy cập thành ba loại cơ bản: Quy tắc tự phục vụ xác định những thao tác mà người dùng có thể thực hiện trên mục nhập cá nhân của họ; Quy tắc ủy quyền cho phép một nhóm người dùng cụ thể thực hiện các hoạt động ghi/chỉnh sửa trên các thuộc tính cụ thể cho người dùng trong một nhóm người dùng khác; Các quy tắc dựa trên vai trò tạo ra các nhóm kiểm soát truy cập đặc biệt có thẩm quyền rộng hơn nhiều đối với tất cả các loại thực thể.

Các loại kiểm soát truy cập khác nhau

Tất cả quy tắc này được tích hợp vào nhiều hệ thống kiểm soát truy cập khác nhau, xác định cách thức phân bổ và kiểm soát quyền truy cập trong một tổ chức. Bao gồm: Kiểm soát truy cập tùy ý (DAC): Với các mô hình DAC, chủ sở hữu dữ liệu quyết định cấp quyền truy cập dựa trên quy tắc mà họ chỉ định. DAC là loại kiểm soát truy cập ít hạn chế nhất và do đó ít được khuyến nghị nhất cho bảo mật thương mại và kinh doanh.

Kiểm soát truy cập bắt buộc (MAC): MAC được phát triển bằng mô hình không tùy ý trong đó một người (ví dụ: Giám đốc an ninh) có toàn quyền quyết định quyền truy cập và quyền bảo mật. Các chủ thể và đối tượng MAC được chỉ định quyền và nhãn tương ứng, chẳng hạn như “bí mật” và “tuyệt mật”. Loại kiểm soát truy cập này phù hợp nhất với tổ chức yêu cầu bảo mật và tính bảo mật cao. 

Kiểm soát truy cập dựa trên vai trò (RBAC): Theo mô hình này, quyền truy cập được cấp dựa trên chức năng công việc của người đó và các nguồn lực cần thiết để thực hiện công việc của họ. Các nguyên tắc bảo mật chính, chẳng hạn như “quyền hạn tối thiểu” và “phân tách quyền hạn”, được sử dụng để cung cấp cho người dùng mức quyền truy cập tối thiểu cần thiết để thực hiện vai trò của họ. RBAC là hệ thống kiểm soát truy cập thân thiện với người dùng, cho phép quản trị viên nhóm người dùng và điều chỉnh quyền từ cơ sở dữ liệu trung tâm.

Kiểm soát truy cập dựa trên thuộc tính (ABAC): Trái ngược với phương pháp kiểm soát truy cập dựa trên vai trò của RBAC, ABAC là chiến lược phức tạp chỉ định hoặc từ chối quyền truy cập cho người dùng dựa trên một tập hợp các thuộc tính do chủ sở hữu hoặc quản trị viên chỉ định. Mặc dù phức tạp hơn RBAC, nhưng nó cung cấp cho quản trị viên sự linh hoạt để đưa ra quyết định theo ngữ cảnh và mức độ rủi ro đang phát triển.

Kiểm soát truy cập dựa trên quy tắc (RuBAC): RuBAC liên quan đến việc xác định các quy tắc quản lý quyền truy cập vào một nguồn lực; những quy tắc này thường dựa trên các điều kiện như “chỉ những người dùng trong bộ phận tài chính mới có thể truy cập dữ liệu tài chính”.

Chọn phần mềm phù hợp

Kiểm soát ra vào mạng là phân khúc thị trường đang phát triển nhanh chóng, cung cấp nhiều loại giải pháp phần mềm kiểm soát ra vào. Một số kết nối trực tiếp với bảng điều khiển, một số thì không; một số sử dụng máy chủ, một số thì không. Giải pháp bạn chọn sẽ phụ thuộc vào quy mô tổ chức, số lượng thiết bị vận hành và mức độ bảo vệ cần thiết. 

Hãy phân tích để đơn giản hóa. Nhìn thoáng qua, hiện nay trên thị trường có ba loại phần mềm kiểm soát truy cập khác nhau dựa trên máy chủ, nhúng và lưu trữ mỗi loại có các tính năng và ứng dụng riêng.

Kiểm soát truy cập dựa trên máy chủ: Thường thấy trong các tổ chức lớn, đây là hệ thống kiểm soát truy cập tại chỗ dựa vào máy chủ cục bộ để lưu trữ và chạy phần mềm. Hệ thống kiểm soát truy cập trên mạng cục bộ chỉ khả dụng tại chỗ và không cung cấp tính linh hoạt của quyền truy cập từ xa. Ở đây, máy chủ nằm trên mạng khép kín mà chỉ có thể được truy cập bởi các thiết bị khác trong mạng đó. Mặc dù điều này rất an toàn, nhưng có thể bất tiện vì cần có toàn bộ nhóm CNTT để mua và gia hạn giấy phép phần mềm và bảo trì máy chủ.

Kiểm soát truy cập dựa trên web: Còn được gọi là kiểm soát truy cập nhúng, các giải pháp dựa trên trình duyệt bao gồm một ứng dụng web. Để ứng dụng hoạt động, không cần phải có quyền truy cập Internet; nó kết nối với LAN (mạng cục bộ) và có thể được truy cập từ bất kỳ thiết bị nào trong LAN. Tuy nhiên, tốt nhất vẫn là có kết nối Internet đáng tin cậy vì loại hệ thống kiểm soát truy cập này cho phép lập trình và bảo trì từ bất kỳ trình duyệt Internet nào, tránh phải cài đặt phần mềm tốn kém tại chỗ. 

Kiểm soát truy cập dựa trên đám mây: Không giống như hai loại kiểm soát truy cập khác, phần mềm dựa trên đám mây được lưu trữ bởi các trung tâm dữ liệu từ xa (thường do bên thứ ba quản lý) và được truy cập thông qua phần mềm và ứng dụng di động. Theo cách tiếp cận này, bạn có thể kiểm soát toàn bộ khuôn viên trường, bao gồm nhiều tòa nhà, từ một bảng điều khiển quản trị. Vì hệ thống đồng bộ hóa trên đám mây nên cần có kết nối Internet để xem lại bảng điều khiển quản trị và thực hiện cập nhật hoặc thay đổi. Hệ thống kiểm soát truy cập dựa trên đám mây tăng cường tính bảo mật và khả năng mở rộng hoạt động của bạn, đồng thời cũng giảm chi phí chung và phí vận hành.

Kiểm soát truy cập: viễn cảnh tương lai

Cách chúng ta sống và làm việc đang thay đổi nhanh chóng, buộc các tổ chức phải thực hiện thay đổi mạnh mẽ để đáp ứng các yêu cầu về bảo mật thông tin và tuân thủ của họ. Cho đến gần đây, sự hội tụ về bảo mật chủ yếu tập trung vào việc hợp nhất các hệ thống kiểm soát truy cập ảo và vật lý; tuy nhiên, ngày nay, các mô hình làm việc từ xa và kết hợp đang thúc đẩy nhu cầu bảo mật mới. Với ít người hơn tại các tòa nhà văn phòng và linh hoạt hơn trong cách họ tiếp cận các tài sản tại nơi làm việc, tương lai của kiểm soát truy cập có thể sẽ được định hình bởi sự phát triển liên tục của các công nghệ mới. 

Theo thời gian, chúng ta có thể thấy việc sử dụng các công nghệ hoặc định danh sinh trắc học tinh vi hơn như các hệ thống dựa trên IoT và AI. Tuy nhiên, điều quan trọng nhất sẽ là cho phép các hệ thống kiểm soát truy cập được kết nối với toàn bộ mạng lưới thiết bị, mang đến cho các nhóm CNTT một phương pháp tiếp cận toàn diện và phối hợp hơn đối với bảo mật. Khi nói đến kiểm soát truy cập, chúng ta đang hướng đến một tương lai thú vị – một tương lai vừa thông minh, vừa thích ứng và đáng tin cậy.

 Hà My