Quản lý danh tính với loạt tiêu chuẩn quốc tế về bảo mật thông tin
Quản lý danh tính là quá trình quản lý danh tính người dùng và quyền truy cập theo cách tập trung. Nó bao gồm việc ghi lại và kiểm soát danh tính trong tổ chức và thực thi các chính sách quản trị danh tính. Nói một cách đơn giản, danh tính trực tuyến của bạn là hồ sơ xác định bạn là ai khi sử dụng mạng, trong khi quyền truy cập đề cập đến các quyền bạn có sau khi đã đăng nhập. Cùng nhau chúng tạo thành một phần quan trọng trong cách bạn tương tác với công nghệ là cách máy tính biết rằng thực sự bạn đang cố gắng đăng nhập chứ không phải người khác.
Quản lý danh tính trong hành động
Thông qua quản lý danh tính và truy cập (IAM), chỉ những người dùng được chỉ định trong tổ chức mới được phép truy cập và xử lý thông tin nhạy cảm. Sau đây là một số ví dụ về quản lý danh tính đang hoạt động:
Tạo và duy trì danh tính: Bằng cách tạo quy trình làm việc tự động cho các tình huống như tuyển dụng mới hoặc chuyển đổi vai trò, IAM tập trung vòng đời quản lý danh tính và quyền truy cập của nhân viên công ty. Điều này cải thiện thời gian xử lý cho các thay đổi về quyền truy cập, danh tính và giảm lỗi.
Quản lý quyền: Quyền vòng đời được chỉ định cho các cá nhân và vai trò của họ. Ví dụ, một nhà điều hành sản xuất có thể xem quy trình làm việc trực tuyến nhưng không được phép sửa đổi quy trình đó. Mặt khác, một giám sát viên có thẩm quyền không chỉ xem mà còn sửa đổi tệp hoặc tạo tệp mới.
Xác minh danh tính: Danh tính là cốt lõi trong các hành động hàng ngày của công dân. Khi nhà nước triển khai sổ đăng ký dân sự, IAM cho phép chính phủ cấp cho mọi người quyền truy cập dữ liệu của họ (giấy khai sinh, giấy phép lái xe, v.v.) và chứng minh danh tính của họ.
Một số hệ thống quản lý danh tính và quyền truy cập sử dụng kiểm soát quyền truy cập dựa trên vai trò (RBAC). Theo cách tiếp cận này, có các vai trò công việc được xác định trước với tập hợp quyền truy cập cụ thể. Ví dụ, nếu một nhân viên HR được giao phụ trách đào tạo thì việc cấp cho họ quyền truy cập vào vai trò trả lương và hồ sơ lương là không hợp lý. Có nhiều hình thức kiểm soát quyền truy cập tự động khác, mỗi hình thức đều có nhiều tính năng và công nghệ khác nhau.
Các tính năng chung của quản lý danh tính
Có nhiều dạng phần mềm quản lý danh tính khác nhau trên thị trường và không có định nghĩa chính thức nào về những gì chúng phải và không được bao gồm. Tuy nhiên, có một vài tính năng thiết yếu nổi bật:
Đăng nhập một lần (SSO): Đây là phương thức mà người dùng có thể truy cập nhiều ứng dụng và dịch vụ từ vị trí duy nhất, tránh phải sử dụng nhiều tên người dùng và mật khẩu khác nhau.
Xác thực hai yếu tố: Điều này bao gồm việc xác minh danh tính của một người không chỉ bằng tên người dùng và mật khẩu mà còn bằng thông tin khác như mã PIN hoặc mã thông báo.
Các tính năng khác của quản lý danh tính có thể bao gồm việc tự động cung cấp tài khoản người dùng, quản lý mật khẩu, quy trình làm việc và các dịch vụ tuân thủ, kiểm toán. Trong những năm gần đây, một thế hệ công nghệ quản lý danh tính mới đã xuất hiện, tập trung vào tính dễ sử dụng ngoài tính bảo mật.
Một số ví dụ là xác thực sinh trắc học (như dấu vân tay hoặc nhận dạng khuôn mặt), xác thực đa yếu tố (yêu cầu một số yếu tố xác minh) và liên kết danh tính, theo đó trách nhiệm xác thực của một cá nhân hoặc tổ chức được chuyển giao cho bên bên ngoài đáng tin cậy. SSO là một khía cạnh quan trọng của quản lý ID liên kết.
Các tính năng chính của quản lý danh tính được chia sẻ bởi hầu hết hệ thống quản lý danh tính (IMS) ngày nay. IMS là nền tảng trực tuyến giúp các tổ chức quản lý nhiều danh tính theo cách an toàn và hiệu quả. Nó tích hợp nhiều hệ thống khác trong một tổ chức, chẳng hạn như hệ thống nhân sự, nền tảng thương mại điện tử và phần mềm kế toán.
Hoạt động của quản lý danh tính
Nói chung, hệ thống quản lý danh tính thực hiện ba nhiệm vụ chính: nhận dạng, xác thực và ủy quyền. Điều này cho phép những người phù hợp, tùy thuộc vào chức năng công việc của họ, truy cập vào các công cụ họ cần để thực hiện nhiệm vụ được giao mà không cấp cho họ quyền truy cập vào những công cụ họ không cần.
Nhận dạng và quyền truy cập sự khác biệt là gì? Các thuật ngữ “quản lý nhận dạng” và “quản lý quyền truy cập” thường được sử dụng thay thế cho nhau, nhưng chúng là hai khái niệm riêng biệt. Sự khác biệt quan trọng là quản lý nhận dạng liên quan đến tài khoản người dùng (xác thực) trong khi quản lý quyền truy cập liên quan đến quyền và đặc quyền (ủy quyền).
Ví dụ, khi người dùng nhập thông tin đăng nhập, danh tính của họ sẽ được kiểm tra với cơ sở dữ liệu để xác minh xem thông tin đã nhập có khớp với thông tin lưu trữ trong cơ sở dữ liệu hay không – đây là xác thực. Sau khi danh tính người dùng được thiết lập, họ sẽ được cấp quyền truy cập vào các tài nguyên mà tài khoản của họ đã được xóa – đó là ủy quyền.
Lợi ích của quản lý danh tính
Hệ thống quản lý danh tính là công cụ có giá trị để bảo vệ thông tin và tài nguyên của các tổ chức ở mọi quy mô. Nó cho phép bạn lưu trữ dữ liệu người dùng một cách an toàn và quản lý quyền truy cập của người dùng, cung cấp một cách an toàn và đáng tin cậy để duy trì hoạt động diễn ra suôn sẻ.
Những lợi ích của việc quản lý danh tính bao gồm: Tăng cường bảo mật – IMS giúp bảo vệ tổ chức khỏi việc truy cập trái phép và đánh cắp dữ liệu người dùng.
Hiệu quả được cải thiện: Với IMS, bạn có thể quản lý hiệu quả quy trình đăng nhập và theo dõi hoạt động của người dùng trên nhiều nền tảng bằng một bộ thông tin xác thực duy nhất.
Giảm thời gian/chi phí xử lý: Quy trình làm việc tự động của IMS cho phép bạn dễ dàng quản lý và điều hành tài khoản người dùng, tiết kiệm thời gian và tiền bạc cho các nhiệm vụ hành chính.
Tăng cường tuân thủ: Với IMS, bạn có thể dễ dàng đảm bảo tuân thủ các quy định và tiêu chuẩn, chẳng hạn như GDPR và HIPAA.
Việc triển khai giải pháp quản lý danh tính hợp lý không đảm bảo an ninh hoàn toàn, nhưng việc áp dụng các nguyên tắc sau có thể giúp bạn ít bị tổn thương hơn trước vi phạm và tấn công từ những tác nhân độc hại.
Mặc dù tuân thủ ISO không phải là yêu cầu pháp lý nhưng các tiêu chuẩn ISO tự nhiên phù hợp với quy định của nhiều lĩnh vực khác nhau. Do đó, việc tuân thủ ISO/IEC 27001 về bảo mật thông tin có thể giúp tổ chức tránh khỏi rắc rối pháp lý liên quan đến các khía cạnh quan trọng của quản lý danh tính, ngoài ra còn có các tiêu chuẩn ISO/IEC 24760-1 Bảo mật và quyền riêng tư CNTT – Một khuôn khổ để quản lý danh tính; tiêu chuẩn ISO/IEC 27018 Bảo vệ thông tin nhận dạng cá nhân (PII) trong các đám mây công cộng hoạt động như bộ xử lý PII.
Dựa trên sự phân định nhiệm vụ và chính sách “một người dùng, một ID”, điều này chứng minh rằng thông tin công ty của bạn được kiểm soát phù hợp.
Hướng tới quản lý danh tính tiên tiến
Các yêu cầu bảo mật và tuân thủ phức tạp đang gây áp lực cho các tổ chức nhiều hơn bao giờ hết để bảo vệ thông tin của họ và thách thức các cách thức thông thường để quản lý danh tính người dùng. Nửa thập kỷ trước, mật khẩu gần như là thứ bạn có thể có được để trở thành danh tính kỹ thuật số. Nhưng các phương pháp tiếp cận hiện đại để xác thực đòi hỏi nhiều hơn là chỉ một mật khẩu. Việc áp dụng rộng rãi điện toán đám mây, với khả năng mở rộng và tính linh hoạt khiến nó trở thành đề xuất hấp dẫn đối với hầu hết tổ chức, đã tạo ra một lớp căng thẳng mới đối với bảo mật thông tin.
Ngày nay, đăng nhập không cần mật khẩu sử dụng sinh trắc học hoặc xác thực đa yếu tố cung cấp giải pháp thay thế cho xác thực truyền thống – nhưng như vậy là chưa đủ. Khi nói đến bảo mật dữ liệu trong môi trường đa đám mây, các chuyên gia công nghệ thông tin coi mã hóa là biện pháp kiểm soát bảo mật quan trọng.
Lưu trữ danh tính trên blockchain đã nổi lên như một giải pháp có thể cung cấp các bản ghi không thể thay đổi của một hệ thống nhất định mà không cần một cơ quan quản lý tập trung để quản lý chúng. Khi chúng ta suy ngẫm về tương lai IAM của mình, có thể sẽ không lâu nữa trước khi các hệ thống danh tính dựa trên blockchain trở thành chuẩn mực để giữ cho dữ liệu của người dùng an toàn và bảo mật.
Hà My (theo ISO)