Chuyên gia CMC Telecom, đối tác Dịch vụ Cấp cao của AWS tại Việt Nam giúp các doanh nghiệp hiểu và sử dụng dễ dàng tính năng cho phép cấp quyền truy cập nâng cao tạm thời trên hệ thống AWS.
Truy cập nâng cao tạm thời là gì?
Trong việc quản trị hệ thống Cloud trên AWS, việc cấp quyền và phân quyền truy cập của người dùng để đảm bảo an toàn thông tin, dữ liệu là rất quan trọng. Tuy nhiên, trên thực tế có những thời điểm người dùng cần phải được khai thác thông tin ngoài khu vực đã được cấp quyền để phục vụ công việc. Theo đó, AWS cho phép cấp quyền truy cập nâng cao tạm thời (Temporary Elevated Access).
Mục đích của việc cấp quyền truy cập nâng cao tạm thời là để đảm bảo rằng trước khi doanh nghiệp cấp quyền cho một ai đó, thì họ sẽ phải có một lý do truy cập hợp lý mà được xác nhận.
Ví dụ, với một lập trình viên cần khắc phục sự cố độ trễ của ứng dụng, họ cần có các đặc quyền cao hơn so với quyền được gán cho lập trình viên đó. Sau khi họ giải quyết được sự cố, quyền truy cập sẽ bị thu hồi ngay lập tức.
Hệ thống quản lý truy cập truyền thống yêu cầu người dùng (user) xác thực và xác nhận họ là ai (Authentication), ủy quyền truy cập tương ứng với quyền của người dùng (Authorization) trước khi có thể truy cập vào hệ thống được bảo vệ.
Việc ủy quyền truy cập thường được cung cấp dạng 1 lần (one-time) và trạng thái của việc ủy quyền cũng được lên lịch kiểm tra định kỳ như một phần của quy trình rà soát, xác nhận quyền truy cập.
Minh họa Xác thực và Ủy quyền truy cập
Để tìm hiểu kỹ hơn về phần này, trước hết chúng ta sẽ cần biết đến quyền truy cập liên tục (persistent access), có nghĩa là khi người dùng đã được xác thực và ủy quyền thì có thể truy cập tài nguyên bất kể lúc nào. Điều này sẽ liên quan đến AWS Identity and Access Management (IAM).
Với quyền truy cập nâng cao tạm thời, ngoài các bước xác thực và ủy quyền mặc định, mỗi khi yêu cầu đặc quyền này thì một quy trình bổ sung sẽ được tiến hành. Tác vụ này nhằm xác định, đánh giá và ghi lại lý do công việc này cần sử dụng quyền truy cập nâng cao tạm thời. Quy trình này sẽ được tiến hành tự động hóa hoặc cần các cấp có thẩm quyền xét duyệt (ví dụ như trưởng bộ phận quản trị IT..).
Căn cứ quyết định sử dụng quyền truy cập nâng cao tạm thời
Trong một số môi trường nhạy cảm, các tổ chức có thể muốn giảm quyền truy cập liên tục của con người và thay vào đó sử dụng quyền truy cập nâng cao tạm thời. Tức là người dùng được cấp quyền truy cập tạm thời vào tài nguyên để thực hiện một tác vụ cụ thể, sau khi hoàn thành tác vụ đó thì quyền truy cập sẽ bị thu hồi.
Quyền truy cập thường phát sinh rủi ro khi hai yếu tố kết hợp với nhau: mức đặc quyền cao, chẳng hạn như khả năng thay đổi cấu hình, sửa đổi quyền, đọc dữ liệu hoặc cập nhật dữ liệu; và các tài nguyên quan trọng, chẳng hạn như các tài nguyên trên môi trường sản xuất, các dịch vụ quan trọng ảnh hưởng đến người dùng cuối (end-user), hoặc các dữ liệu nhạy cảm của công ty,…
Doanh nghiệp có thể dựa vào các yếu tố này để xác định và đưa ra ngưỡng rủi ro. Trên ngưỡng đó doanh nghiệp thực thi quyền truy cập nâng cao tạm thời. Dưới ngưỡng đó, doanh nghiệp tiếp tục cho phép truy cập liên tục. Bất kể nguồn yêu cầu là gì, mục tiêu tổng thể là giảm thiểu rủi ro.
Mô hình luận lý triển khai cấp quyền truy cập nâng cao tạm thời
Mô hình luận lý khi triển khai cấp quyền truy cập nâng cao tạm thời
Trong mô hình trên khi cần thực hiện một tác vụ yêu cầu quyền truy cập nâng cao tạm thời vào hệ thống, quy trình sẽ thực hiện các bước sau:
– Xác thực người dùng và các điều kiện liên quan (1 – 2). Chúng ta có thể sử dụng phương pháp xác thực đa yếu tố (MFA) để xác định người dùng có đủ điều kiện để được gán quyền truy cập nâng cao tạm thời hay không.
– Thiết lập lưu trữ, quản trị lý do yêu cầu quyền truy cập (3). Lưu lại lý do người dùng yêu cầu cấp quyền truy cập nâng cao tạm thời, xác định tính hợp lệ, tiến hành phê duyệt yêu cầu. Tiến trình này sẽ được thực hiện tự động hóa hoặc yêu cầu các cấp quản lý phê duyệt.
– Cấp quyền truy cập có thời hạn xác định (4). Sau khi hoàn thành tiến trình xét duyệt, người dùng sẽ được cấp quyền truy cập có giới hạn thời gian vào hệ thống cần thiết dựa trên nguyên tắc đặc quyền tối thiểu (principle of least privilege).
Mô hình triển khai tham chiếu
Doanh nghiệp có thể tham khảo cụ thể mô hình triển khai tham chiếu cơ bản để cung cấp quyền truy cập nâng cao tạm thời trong môi trường AWS tại : https://bit.ly/CMC-AWS-TempAccess
Mô hình triển khai tham chiếu
Như vậy, các doanh nghiệp đã có thêm góc nhìn, kiến thức về quyền truy cập nâng cao tạm thời và cách giảm rủi ro liên quan đến quyền truy cập của người dùng.
Với vị thế là đối tác Dịch vụ Cấp cao của AWS tại Việt Nam, đã từng triển khai, vận hành hiệu quả cho nhiều doanh nghiệp trên nền tảng đám mây AWS, các chuyên gia của CMC Telecom sẵn sàng chia sẻ những kinh nghiệm của mình và đồng hành với các doanh nghiệp đang trong quá trình chuyển đổi số.
