• GIẢI PHÁP QUẢN LÝ MẬT KHẨU & TÀI KHOẢN ĐẶC QUYỀN (PHẦN 2)

    Kiểm soát chặt chẽ các tài khoản đặc quyền là việc làm cần thiết đối với các tổ chức. Theo dõi mọi hoạt động của các loại tài khoản này sẽ làm giảm thiểu các nguy cơ bảo mật và cung cấp các quy định buộc hệ thống phải tuân thủ để đảm bảo quá trình hoạt động của tổ chức được liên tục. Tiếp nối phần 1, phần 2 của bài viết sẽ đi sâu vào mô hình, yêu cầu, đề xuất… cho giải pháp quản lý tài khoản đặc quyền.

    1. Mô hình phân tán

    Mạng lưới doanh nghiệp hiếm khi bao gồm một mạng kết nối đơn lẻ mà bao gồm nhiều sub-net được phân chia theo chức năng hay khu vực địa lý, được quản trị từ xa và kết nối giữa chúng được bảo vệ bởi tường lửa. Kiến trúc độc đáo của CyberArk cung cấp giải pháp quản lý tài khoản đặc quyền tập trung mà không làm ảnh hưởng đến an ninh mạng.

    Thay vì yêu cầu tất cả các giao thức chuyển dụng (ví dụ như Telnet, RDP, ODBC, SSH,…) phải được cho phép bởi tường lửa để quản lý các thiết bị, kết nối từ xa, CyberArk sử dụng module CPM tại mỗi sub-net của doanh nghiệp để quản lý các hệ thống bên trong nó, trong khi sử dụng một Vault duy nhất như là một kho lưu trữ trung ương. Điều này cung cấp lợi ích quan trọng như điểm duy nhất của quản lý, giám sát, thực thi chính sách và kiểm toán. Ngoài ra, kiến trúc này cho phép quá trình quản lý mật khẩu để được cân bằng tải giữa nhiều máy CPM.

    PIM Suite Distributed Architecture

    Sơ đồ dưới đây cho thấy một môi trường PIM Suite điển hình, với công việc truy cập khác nhau về đặc quyền tài khoản.

    Mô hình triển khai PIM Suite

    • Bước đầu tiên trong quản lý tài khoản đặc quyền, là tài khoản của người dùng có quyền tạo ra tài khoản trong Vault và xác định người dùng nào có thể truy cập và truy cập với các đặc quyền nào.
    • Khi đã định nghĩa người dùng và ủy quyền người dùng, chẳng hạn như nhân sự về hệ thống thông tin…, có thể truy cập mật khẩu và sử dụng đặc quyền của họ trên nhiều nền tảng và thiết bị. Mật khẩu có thể được nhận và sử dụng trong các công việc sau đây:

    + PVWA – Người dùng nhận mật khẩu và sử dụng chúng trực tiếp từ Vault Server;

    + PSM – Người sử dụng các kết nối trong suốt đến các hệ thống cần truy cập mà không cần biết mật khẩu của hệ thống đó;

    + OPM – cho phép quản trị hệ thống hạn chế tập lệnh của các IT Admin trong hệ thống Unix và Linux.

    • Bất cứ lúc nào, auditor có thể xem các hoạt động diễn ra trong Vault bằng cách tạo ra các báo cáo hoặc qua các bản ghi.

     

    2. Nguyên lý hoạt động

    Nguyên lý hoạt động của hệ thống được mô tả theo 5 quy trình sau:

    - Định nghĩa chính sách về mật khẩu cho các thiết bị trong toàn hệ thống.

    • Adminitrator của hệ thống IT đăng nhập vào PVWA để định nghĩa các chính sách về mật khẩu cho các thiết bị trong toàn hệ thống.
    • Chính sách về mật khẩu sẽ được lưu tại Vault Server và được đẩy xuống CPM.

     

    - Quy trình khởi tạo và reset lại mật khẩu cho các thiệt bị trong hệ thống

    • Khi các thiết bị trong hệ thống công nghệ thông tin của tổ chức được quản lý bởi hệ thống quản lý mật khẩu đặc quyền, Module CPM sẽ sinh ra các mật khẩu mới (dựa trên chính sách về mật khẩu được Administrator định nghĩa) và đẩy các mật khẩu này xuống các thiết bị, đồng thời các mật khẩu này cũng được CPM đẩy về phía Vault Server để lưu lại.

     

    - Quy trình yêu cầu mật khẩu từ nhân viên IT để sử dụng (Dual Control)

    • Nhân viên IT khi muốn đăng nhập vào thiết bị trong hệ thống, họ sẽ phải đăng nhập vào PVWA để lấy mật khẩu tương ứng với thiết bị do họ quản lý.
    • Trong trường hợp họ muốn quản lý thiết bị khác, họ sẽ phải viết một thông báo gửi tới quản trị hệ thống PIM (Một email sẽ được tự động gửi tới quản trị hệ thống PIM).
    • Sau khi quản trị hệ thống PIM chấp nhận thì nhân viên IT mới được phép lấy mật khẩu để truy cập vào thiết bị (Đây chính là quy trình kiểm soát kép – Dual Control). Quá trình này sẽ được hệ thống xác thực ghi lại thông qua ticket, phục vụ cho mục đích truy vết sau này.
    • Sau khi nhân viên IT sử dụng xong mật khẩu, Module CPM sẽ tự động thay đổi mật khẩu của thiết bị đó.

     

    - Truy cập tới thiết bị thông qua SSO (single sign on)

    • Đây là một ưu điểm của giải pháp, giúp tăng tính bảo mật cho toàn hệ thống. Nhân viên IT vẫn có quyền truy cập và thiết bị do họ quản lý nhưng họ không cần phải biết mật khẩu đăng nhập vào thiết bị đó.
    • Họ sẽ đăng nhập vào PVWA, sau đó sẽ kết nối trực tiếp tới thiết bị thông qua giao thức truy cập từ xa như SSH, RDP chỉ bằng thao tác đơn giản là click chuột.
    • Sau khi đăng nhập thành công, mọi thao tác của nhân viên IT trên thiết bị đó sẽ được ghi lại dưới dạng video cho phép các quản trị cấp cao xem lại trong trường hợp cần kiểm soát, theo dõi hành vi của nhân viên IT đã thao tác những gì trên thiết bị.

     

    - Thống kê, báo cáo

    • CyberArk cung cấp các chức năng báo cáo, thông kê đầy đủ.
    • Auditor có thể xem, lập các thông kê về số lượng thiết bị được quản lý mật khẩu…

     

    3. Yêu cầu và thiết kế

    • Hệ thống gồm DC và DR;
    • Dữ liệu tại DC và DR là như nhau: dữ liệu tài khoản và dữ liệu log record;
    • Yêu cầu năng lực xử lý;
    • Quản lý không giới hạn số lượng tài khoản, thiết bị CNTT;
    • Đáp ứng tối thiểu 25 quản trị hệ thống;

     

    Mô hình triển khai

     

    • Vault, Vault DR: Đây là trung tâm của cả hệ thống quản lý tài khoản đặc quyền. Nơi lưu mật khẩu đặc quyền của hầu hết các thiết bị như: thiết bị mạng, thiết bị bảo mật, databases, hệ điều hành,…Các dữ liệu trong hệ thống CyberArk đều được mã hóa trong đó có các mật khấu của các thiết bi mà hệ thống CyberArk quản lý;
    • CPM: Thành phần có chức năng tự động thay đổi mật khẩu của các thiết bị trong hệ thống và lưu mật khẩu mới thay đổi về Vault Server;
    • PVWA, PVWA DR: Cung cấp giao diện Web để quản trị và sử dụng hệ thống quản lý mật khẩu đặc quyền;
    • PSM HA, PSM DR: Thành phần có chức năng ghi lại thao tác của admin khi đăng nhập vào thiết bị do PSM quản lý như: Window OSs, Unix OSs, Network devices, database ra file video và được lưu giữ trong Vault Server;
    • PSM HA: Vận hành theo cơ chế Active – Passive trên Windows Clustering.

     

    4. Giải pháp kết nối

    Trước khi có hệ thống PIM

    - Các quản trị viên hệ thống của EVN sử dụng mật khẩu tạo các kết nối trực tiếp đến hệ thống qua các tool như:

    • Đối với Windows: RDP (remote desktop)
    • Đối với Linux: Putty (SSH)
    • Đối với Database: Toad for Oracle, SQL Plus, MySQL Query Brower, MS SQL Management.
    • Đối với Network (Routers và Switchs): Putty SSH,Telnet,ASDM,HTTPS.

     

    - Không kiểm soát dẫn đến việc mất an toàn cho mật khẩu của hệ thống và không định danh, giám sát được ai đã thực hiện kết nối tới hệ thống, đặc biệt các quản trị viên hệ thống sử dụng chung tài khoản như sysdba, administrator, root, sa …

     

    Sau khi có hệ thống PIM

    User kết nối qua PIM vào các hệ thống qua các giao thức

    - Khi sử dụng qua hệ thống quản lý tài khoản đặc quyền PIM, các quản trị viên không kết nối trực tiếp đến hệ thống đích nữa mà thông qua giao diện ứng dụng web của PIM được cài đặt trên máy chủ PVWA(Web), thông qua các giao thức hoặc tool như khi kết nối trực tiếp.

    • Chuyên viên IT truy cập vào hệ thống PIM qua giao diện PVWA(Web)
    • Chuyên viên IT chọn hệ thống và giao thức hoặc tool kết nối rồi ấn (Connect)
    • Hệ thống CyberArk sẽ gửi về cho chuyên viên IT 1 file RDP thông qua PVWA(Web)
    • Chuyên viên IT mở file RDP, để kết nối đến hệ thống trên giao thực hoặc tool đã chọn trước đó.
    • Mọi hành động của chuyện viên IT trên hệ thống sẽ bị ghi lại, sau khi kết thúc phiên sẽ được đẩy về Vault Server để lưu trữ.
    • Log sẽ được đẩy lên Hệ thống giám sát an toàn mạng (Security information and event management – SIEM) theo thời gian thực.

     

    - Chuyên viên IT không hề biết mật khẩu của hệ thống vẫn có thể truy cập vào vận hành. Mọi hành vi đều được ghi lại dưới dạng video, log.

     

    5. Đề xuất chính sách quản lý tài khoản đặc quyền

    - Cấu hình chính sách (Master Policy)

    - Quy trình quản lý truy cập trên PIM:

    • Require dual control password access approval: sử dụng khi cần có sự phê duyệt của cấp trên.
    • Enforce check-in check-out exclusive access: sử dụng khi có yêu cầu phải check-in check-out khi làm việc với hệ thống.
    • Enforce one-time password access: cho phép sử dụng mật khẩu 1 lần.
    • Allow EPV transparent connections: tính năng kết nối thẳng tới hệ thống đích không qua máy chủ PSM.
    • Require users to specify reason for access: sử dụng khi cần nêu lý do khi truy cập hệ thống.

     

    - Chính sách quản lý mật khẩu

    • Require password change every X days: yêu cầu thay đổi mật khẩu của quản trị viên hệ thống.
    • Require password verification every X days: yêu cầu kiểm tra mật khẩu của quản trị viên hệ thống.

     

    - Chính sách quản lý Phiên

    • Require priviledge session monitoring and isolation: khi chọn là active, hệ thống sẽ tải về máy 1 file RDP để quản trị viên mở phiên truy cập vào hệ thống đích.
    • Record and save session activity: cho phép ghi và lưu lại các phiên làm việc.

     

    - Kiểm soát

    • Activities and retention period: số lượng ngày lưu file record video trên Vault.

     

    6. Thiết lập báo cáo định kỳ

    • Privileged Accounts Inventory: Cung cấp thông tin về tất cả các tài khoản đặc quyền trong hệ thống.
    • Applications report: Cung cấp thông tin về các ID ứng dụng trong hệ thống.
    • Privileged Accounts Compliance Status: Cung cấp thông tin về trạng thái của các Account, Vì dụ như thời gian tài khoản chưa ChangePassword, Có đúng như chính sách được thiết lập trong Master Policy không (Mặc định Account phải change Password sau 90 ngay).
    • Entitlement report: Chứa thông tin liên quan đến User, Safe, Active platform, target machine, target account.
    • Activities log report: Cung cấp thông tin về các hoạt động diễn ra trong safe. Báo cáo này lọc theo User, target system, thời gian quy định.
    • Chọn Schedule để tạo báo cáo định kỳ và thời gian hệ thống sẽ tự động tạo báo cáo. Rồi Finish, thông tin về thời gian, lịch báo cáo sẽ được tạo như trong hình.

     

    7. Phân quyền trên hệ thống CyberArk

    Phân quyền trên “vùng an toàn” (safe)

    • Safe chứa một hoặc một nhóm các tài khoản cùng chung một chính sách, trên hệ thống quản lý tài khoản đặc quyền.
    • Trên PIM, các tài khoản của hệ thống được đưa vào Safe như safe Database, OS, Network, App,…
    • Các Chuyên viên IT sẽ được đưa vào các safe và thiết lập quyền hạn trên safe đó.

     

    Một số quyền chính trong “vùng an toàn”

    • Use accounts: Quyền sử dụng account trong safe.
    • Retrieve accounts: Quyền show password.
    • List accounts: Quyền xem danh sách các account có trong safe.
    • Add accounts: Quyền thêm account vào trong safe.
    • Update password value: Quyền update password của account trong safe.
    • Update password properties: Quyền thay đổi thông tin của Account như password, username, address, databasename…
    • Initiate CPM password Management operations: Quyền sử dụng tính năng của CPM.
    • Specify next password value: Quyền chỉ định mật khẩu thay đổi lần tiếp theo.
    • Rename accounts: Quyền thay đổi tên Accounts trong safe.
    • Delete accounts: Quyền xóa account trong Safe.
    • Unlock accounts: Quyền mở khóa account trong safe.
    • Manage Safe: Quyền sửa, xóa safe.
    • Manage Safe members: Quản lý member trong safe.
    • Monitor: Giám sát member trong safe. Các hành động của các member.
    • View audit log: Xem lại các hành động của các member trong safe.
    • View Safe Members: Xem được các member trong safe.
    • Authorize password request: Người sẽ nhận request truy cập account của member.
    • Authorize password request: Người sẽ có quyền truy cập trực tiếp vào safe không qua dual-control.

     

    Emanvn | Song Phương

    Ngày đăng: 03-11-2017 2,063 lượt xem

Tin liên quan