Quản lý và giám sát quyền truy cập đặc quyền vào hệ sinh thái đám mây
Chính phủ số - Ngày đăng : 21:26, 05/10/2019
Quản lý truy cập đặc quyền (PAM – Privilege access management) cần:
- Nhận thức được rủi ro và thông minh
- Giảm sự mở rộng của cơ sở hạ tầng, tài khoản, quyền truy cập và thông tin đăng nhập
- Sử dụng phân tích danh tính liên tục.
Quản lý kịp thời các tài khoản đặc quyền
Theo báo cáo Magic Quadrant 2018 của Gartner về PAM, đến năm 2022, hơn 50% các tổ chức có triển khai PAM sẽ chọn quyền truy cập đặc quyền kịp thời so với quyền truy cập đặc quyền dài hạn, tỷ lệ cao hơn đáng kể so với hiện nay (dưới 25%).
Các tài khoản liên tục là tiêu chuẩn khi cung cấp quyền truy cập đặc quyền cho người dùng, ứng dụng và dịch vụ trong bối cảnh CNTT. Nhưng các tài khoản liên tục đi kèm với chi phí quản lý và bảo trì liên tục, cũng như rủi ro cao. Trong đám mây, sự phơi nhiễm rủi ro này trở nên đa chiều do tính đàn hồi và tính phù du của nó.
Giảm thiểu các tài khoản liên tục không chỉ làm giảm bề mặt tấn công mà còn giảm bớt các mối lo ngại về kiểm tra kiểm soát. Cung cấp tài khoản đúng lúc để truy cập đặc quyền là chìa khóa cho một chiến lược hiệu quả và an toàn, để giảm sự mở rộng của các tài khoản đặc quyền trên các hệ thống đám mây.
Phân công truy cập tạm thời và chi tiết với in-session access elevation sử dụng vai trò hoặc ID
Các cơ chế truyền thống sử dụng các tài khoản/ID riêng để truy cập thường xuyên và đặc quyền. Trên các nền tảng đám mây, đặc biệt là các ứng dụng SaaS (phần mềm dưới dạng dịch vụ), điều này làm tăng chi phí giấy phép người dùng và cũng thêm chi phí quản lý vòng đời của các tài khoản bổ sung.
In-session access elevation hoạt động liên tục trong đám mây và có thể đạt được bằng cách sử dụng vai trò/quyền truy cập hoặc gán quyền truy cập tạm thời cho các tài khoản đặc quyền.
Phân tích danh tính phải là chủ đề chính của chiến lược PAM
Đạt được khả năng hiển thị liên tục của quyền truy cập đặc quyền trên tài sản đám mây là điều bắt buộc. Thách thức cố hữu với việc xác định quyền truy cập của người dùng trên các tài sản/nền tảng đám mây nằm trong hàng ngàn đối tượng chính sách, quyền và vai trò dựa trên JSON (JSON - JavaScript Object Notation là một kiểu dữ liệu mở trong JavaScript). Biết ai có quyền truy cập vào những thông tin gì đòi hỏi phải sàng lọc và tính toán liên tục các đối tượng IAM (IAM - Identity and Access Management) là dịch vụ web giúp bạn kiểm soát truy cập tới tài nguyên AWS) trên các đám mây bản địa.
Phân tích danh tính liên tục cung cấp những hiểu biết đúng và chi tiết về các vi phạm truy cập rủi ro và các kết hợp truy cập độc hại. Nó cũng đóng vai trò là trung tâm thông minh cho quy trình công việc PAM, lần lượt làm cho quy trình công việc PAM thành thạo với các rủi ro truy cập và cung cấp các kích hoạt cần thiết để kiểm tra bổ sung (nếu thấy cần thiết).
Rủi ro và quản trị cần phải là một phần của quy trình PAM ngay từ đầu
Khi thực hiện các giải pháp PAM, các tổ chức thường thực hiện ở mức tối thiểu. Thời gian nhanh chóng để có thể tiếp thị và thêm giá trị kinh doanh liên tục là mục tiêu kinh doanh chính của việc triển khai PAM. Tuy nhiên, sự phụ thuộc tích hợp vào các nền tảng quản trị và quản trị danh tính (IGA) thường trở thành giai đoạn dài trong các triển khai này.
Hội tụ các công nghệ IGA và PAM trong một nền tảng duy nhất giải quyết các vấn đề này theo nhiều chiều hướng. Yếu tố rủi ro là cốt lõi của nền tảng IGA thông minh và hội tụ tương tự với nền tảng PAM, cho phép các quy trình PAM có thể nhận thức rủi ro. Điểm rủi ro có thể là một thuộc tính đa chiều bao gồm rủi ro người dùng, rủi ro điểm cuối, cấu hình cơ sở hạ tầng sai, rủi ro mặt phẳng truy cập và mặt phẳng điều khiển. Việc hội tụ các tham số/mô hình rủi ro này vào cùng một nền tảng cho phép các quá trình PAM và các tác nhân PAM đưa ra các quyết định sáng suốt hơn và tốt hơn.
Với sự hội tụ, quản trị danh tính đặc quyền trở thành tác nhân tiềm ẩn cho quy trình công việc PAM. Với khả năng hiển thị các kết hợp truy cập độc hại, thực hiện phân tách nhiệm vụ thám tử và phòng ngừa, đánh giá truy cập thông minh và rủi ro, quyền sở hữu và quản lý tài khoản đặc quyền và quản lý liên tiếp các ID đặc quyền có sẵn trong nền tảng IGA và PAM hội tụ, và các tổ chức không phải đầu tư thời gian và nỗ lực trong việc tích hợp hoặc giải quyết những vấn đề này.
Xác định các ống dẫn/giao diện có thể cung cấp quyền truy cập đặc quyền vào các nền tảng cơ bản
Đảm bảo quyền truy cập đặc quyền vào đám mây đòi hỏi một cách tiếp cận khác với bảo vệ môi trường tại chỗ truyền thống. Nó đòi hỏi sự hiểu biết về các kênh khác nhau, mà thông qua đó có thể đạt được quyền truy cập đặc quyền, cũng như những thách thức trong việc đảm bảo từng kênh dẫn đó.
Các phạm vi này từ cổng quản lý, khối lượng công việc, giao diện dòng lệnh (CLI) và giao diện lập trình ứng dụng (API), đến các chức năng không có máy chủ, khóa truy cập ngắn/dài hạn, hồ sơ cá nhân, tài khoản dịch vụ, siêu dữ liệu cá thể, công cụ DevOps và quy trình tích hợp liên tục (CI - Continuous Integration)/triển khai liên tục (CD - Continuous Deployment). Mỗi giao diện này tiêu thụ/tương tác với các dịch vụ đám mây cơ bản theo một cách khác nhau, và do đó đòi hỏi một chiến lược riêng biệt và tập trung để quản lý và giám sát truy cập đặc quyền.
Khía cạnh quan trọng là xác định tất cả các kênh có thể có trong một hệ sinh thái đám mây của tổ chức để tránh rò rỉ truy cập.
Việc triển khai phân tích danh tính đóng vai trò là một cách cực kỳ hiệu quả để xác định các bối cảnh truy cập đặc quyền khác nhau, và trở thành điểm khởi đầu tuyệt vời để hiểu được tiếp xúc truy cập trong hệ sinh thái. Tích hợp với nền tảng bảo mật bản địa của đám mây hoặc khuôn khổ IAM là điều bắt buộc để xác định phạm vi truy cập, truy cập ngoài băng tần, truy cập giả mạo và truy cập rõ ràng.
Mang các công cụ DevOps và CI/CD trong PAM
Jenkins, Chef, Puppet, Ansible, v.v... là một số công cụ DevOps được áp dụng rộng rãi nhất bởi các tổ chức chuyển khối lượng công việc của họ lên đám mây. Trong khi một số công cụ trợ giúp trong việc quản lý trôi dạt, những công cụ khác giúp đỡ trong việc sắp xếp khối lượng công việc. Hầu hết các công cụ này sử dụng dịch vụ đám mây bản địa trong bối cảnh tài khoản dịch vụ đặc quyền. Chiến lược PAM cho đám mây là không đầy đủ trừ khi nó cũng bao gồm các quy trình DevOps và CI/CD.
Việc quản lý quyền truy cập đặc quyền không nên giới hạn đối với các thực thể đám mây bản địa - mọi công cụ DevOps và CI/CD hoặc quá trình tương tác hoặc tiêu thụ dịch vụ đám mây sẽ nằm trong phạm vi quản lý truy cập đặc quyền.
Hiểu trách nhiệm của tổ chức theo mô hình trách nhiệm chung
Bất chấp những nỗ lực đáng kể của các nhà cung cấp đám mây công cộng như Amazon, Microsoft và Google để nâng cao nhận thức về mô hình trách nhiệm chung, các tổ chức chưa thể nắm bắt được khái niệm này và đã phạm sai lầm trong việc hiểu về trách nhiệm. Trong ngữ cảnh của PAM, điều này càng trở nên quan trọng hơn nữa: các tổ chức phải nhận thức và chấp nhận trách nhiệm của họ đối với việc luân chuyển/làm mới thông tin đăng nhập, đặt lại khóa truy cập, gán thông tin xác thực tạm thời cho các tài khoản đặc quyền, v.v...
Để bắt đầu, một ma trận trách nhiệm về các yêu cầu/mục tiêu tuân thủ đối với PAM trên tất cả các lớp điện toán đám mây nên được lập bản đồ giữa các nhà cung cấp và tổ chức dịch vụ đám mây. Bản đồ ma trận không chỉ giúp thể hiện sự phân định rõ ràng về trách nhiệm, mà còn đặt ra những kỳ vọng đúng đắn cho các tổ chức, vai trò và trách nhiệm của tổ chức.
Kiến trúc đám mây và có sẵn như một dịch vụ
Quản lý quyền truy cập đặc quyền trên đám mây đòi hỏi giải pháp PAM phải linh hoạt và có thể mở rộng, có khả năng xử lý các yêu cầu về quy mô, khối lượng và vận tốc của đám mây. Nâng và chuyển một giải pháp PAM truyền thống lên đám mây không phải là cách tiếp cận phù hợp, bởi vì nó được lưu trữ trên đám mây bằng cách không thiết kế kiến trúc cho nó.
PAM cho đám mây phải được xây dựng bằng các công nghệ đám mây bản địa và phải được cung cấp dưới dạng dịch vụ - đây là chìa khóa để giảm sự phát triển cơ sở hạ tầng và lãng phí tài nguyên tính toán.
Mô hình này cũng cho phép triển khai nhanh chóng, nâng cấp nhanh hơn dẫn đến giá trị kinh doanh không thay đổi và tiết kiệm chi phí đáng kể (cơ sở hạ tầng, chi phí vận hành).