Trace Id is missing
Bỏ qua để tới nội dung chính
Microsoft Security

Quản lý quyền truy nhập đặc quyền (PAM) là gì?

Bảo vệ tổ chức của bạn trước các mối đe dọa trên mạng bằng cách giám sát, phát hiện và ngăn chặn quyền truy nhập đặc quyền trái phép vào các tài nguyên quan trọng.

Quản lý quyền truy nhập đặc quyền (PAM) là gì?

Quản lý quyền truy nhập đặc quyền (PAM) là một giải pháp bảo mật danh tính giúp bảo vệ các tổ chức trước các mối đe dọa trên mạng bằng cách giám sát, phát hiện và ngăn chặn quyền truy nhập đặc quyền trái phép vào các tài nguyên quan trọng. PAM hoạt động thông qua sự kết hợp giữa con người, quy trình và công nghệ, đồng thời cho bạn biết được ai đang sử dụng các tài khoản đặc quyền và họ làm gì sau khi đăng nhập. Việc giới hạn số lượng người dùng có quyền truy nhập vào các chức năng quản trị sẽ tăng cường bảo mật hệ thống, trong khi các tầng bảo vệ bổ sung sẽ giảm thiểu hành vi vi phạm dữ liệu từ các tác nhân đe dọa.

Quản lý quyền truy nhập đặc quyền hoạt động như thế nào?

Giải pháp PAM xác định con người, quy trình và công nghệ cần quyền truy nhập đặc quyền và chỉ định các chính sách được áp dụng. Giải pháp PAM của bạn cần có chức năng hỗ trợ các chính sách mà bạn thiết lập ra (ví dụ: quản lý mật khẩu tự động và xác thực đa yếu tố) và người quản trị sẽ có khả năng tự động hóa quy trình tạo, sửa đổi và xóa tài khoản. Giải pháp PAM của bạn cũng cần giám sát không ngừng các phiên để bạn có thể tạo báo cáo nhằm xác định và điều tra các hành vi bất thường.

Hai trường hợp sử dụng chính của quản lý quyền truy nhập đặc quyền là ngăn chặn hành vi trộm cắp thông tin xác thực và đạt được sự tuân thủ.

Hành vi trộm cắp thông tin xác thực xảy ra khi tác nhân đe dọa lấy cắp thông tin đăng nhập để giành quyền truy nhập vào tài khoản của người dùng. Sau khi đăng nhập, họ có thể truy nhập dữ liệu tổ chức, cài đặt phần mềm xấu trên nhiều thiết bị và giành quyền truy nhập vào các hệ thống cấp cao hơn. Giải pháp PAM có thể giảm thiểu rủi ro này bằng cách đảm bảo quyền truy nhập và xác thực đa yếu tố vừa đúng lúc và vừa đủ cho tất cả danh tính và tài khoản người quản trị.

Bất kể tiêu chuẩn tuân thủ nào áp dụng cho tổ chức của bạn cùng đều có khả năng cao cần tới chính sách cấp đặc quyền tối thiểu để bảo vệ dữ liệu nhạy cảm như thông tin thanh toán hoặc sức khỏe cá nhân. Giải pháp PAM cũng cho phép bạn chứng minh sự tuân thủ của mình bằng cách tạo báo cáo về hoạt động người dùng đặc quyền – ai đang truy nhập, dữ liệu nào được truy nhập và lý do truy nhập.

Các trường hợp sử dụng khác bao gồm việc tự động hóa vòng đời người dùng (ví dụ: tạo, cấp phép và hủy cung ứng tài khoản), giám sát và ghi lại các tài khoản đặc quyền, bảo mật quyền truy nhập từ xa và kiểm soát quyền truy nhập của bên thứ ba. Bạn cũng có thể áp dụng các giải pháp PAM cho các thiết bị (Vật dụng kết nối Internet), môi trường đám mây và dự án DevOps.

Việc sử dụng sai quyền truy nhập đặc quyền là một mối đe dọa an ninh mạng có thể gây ra thiệt hại nghiêm trọng và trên diện rộng cho mọi tổ chức. Giải pháp PAM cung cấp các tính năng mạnh mẽ giúp bạn đón đầu rủi ro này.

  • Cung cấp quyền truy nhập vừa đúng lúc vào các tài nguyên quan trọng
  • Cho phép bảo mật quyền truy nhập từ xa bằng các cổng kết nối được mã hóa thay cho mật khẩu
  • Giám sát các phiên đặc quyền để hỗ trợ kiểm tra điều tra
  • Phân tích hoạt động đặc quyền bất thường có thể gây hại cho tổ chức bạn
  • Ghi lại các sự kiện tài khoản đặc quyền để kiểm tra tuân thủ
  • Tạo báo cáo về quyền truy nhập và hoạt động của người dùng đặc quyền
  • Bảo vệ DevOps với bảo mật mật khẩu tích hợp

Các loại tài khoản đặc quyền

Tài khoản siêu người dùng là tài khoản đặc quyền được người quản trị (không bị hạn chế quyền truy nhập vào tệp, thư mục và tài nguyên) sử dụng. Họ có thể cài đặt phần mềm, thay đổi cấu hình và cài đặt, cũng như xóa người dùng và dữ liệu.

Tài khoản đặc quyền

Tài khoản đặc quyền cung cấp quyền truy nhập và đặc quyền vượt xa những tài khoản không có đặc quyền (ví dụ: tài khoản người dùng tiêu chuẩn và tài khoản người dùng khách).

Tài khoản người quản trị tên miền

Tài khoản người quản trị tên miền là cấp độ kiểm soát cao nhất trong hệ thống. Những tài khoản này có quyền truy nhập vào mọi máy trạm và máy chủ trên miền của bạn, đồng thời kiểm soát cấu hình hệ thống, tài khoản người quản trị và tư cách thành viên nhóm.

Tài khoản người quản trị cục bộ

Tài khoản người quản trị cục bộ có quyền kiểm soát quản trị đối với máy chủ hoặc máy trạm cụ thể và thường được tạo cho các tác vụ bảo trì.

Tài khoản người quản trị ứng dụng

Tài khoản người quản trị ứng dụng có toàn quyền truy nhập vào các ứng dụng cụ thể và dữ liệu được lưu trữ trong đó.

Tài khoản dịch vụ

Tài khoản dịch vụ giúp các ứng dụng tương tác với hệ điều hành an toàn hơn.

Tài khoản người dùng đặc quyền doanh nghiệp

Tài khoản người dùng đặc quyền doanh nghiệp có đặc quyền cấp cao dựa trên trách nhiệm công việc.

Tài khoản khẩn cấp

Tài khoản khẩn cấp cung cấp quyền truy nhập quản trị cho người dùng không có đặc quyền vào các hệ thống bảo mật trong trường hợp xảy ra sự cố hoặc gián đoạn.

PAM so với PIM

Quản lý quyền truy nhập đặc quyền giúp các tổ chức quản lý danh tính và khiến tác nhân đe dọa gặp khó khăn hơn trong việc xâm nhập mạng, cũng như giành quyền truy nhập tài khoản đặc quyền. Giải pháp này thêm sự bảo vệ cho các nhóm đặc quyền kiểm soát quyền truy nhập vào máy tính đã liên kết miền và các ứng dụng trên các máy tính đó. PAM cũng cung cấp khả năng giám sát, khả năng hiển thị và các biện pháp kiểm soát chi tiết để bạn có thể xem người quản trị đặc quyền của mình là ai và họ đang dùng tài khoản họ như thế nào.

Quản lý danh tính đặc quyền (PIM) cung cấp khả năng kích hoạt vai trò dựa trên thời gian và dựa trên phê duyệt để giảm thiểu rủi ro của việc truy nhập thừa, không cần thiết hoặc sử dụng sai vào các tài nguyên nhạy cảm trong tổ chức bằng cách thực thi quyền truy nhập vừa đúng lúc và vừa đủ cho các tài khoản này. Để tăng cường bảo mật cho các tài khoản đặc quyền này, PIM cho phép bạn thực thi các tùy chọn chính sách như xác thực đa yếu tố.

Mặc dù PAM và PIM có rất nhiều điểm tương đồng, PAM sử dụng các công cụ và công nghệ để kiểm soát và giám sát quyền truy nhập vào các tài nguyên của bạn và làm việc theo nguyên tắc cấp đặc quyền tối thiểu (đảm bảo rằng nhân viên có đủ quyền truy nhập để thực hiện công việc của mình) trong khi PIM kiểm soát người quản trị và siêu người dùng bằng quyền truy nhập giới hạn thời gian và bảo mật các tài khoản đặc quyền này.

Các biện pháp tối ưu trong quản lý quyền truy nhập đặc quyền

Khi lập kế hoạch và triển khai giải pháp PAM, bạn nên lưu ý tới các biện pháp tối ưu để giúp cải thiện bảo mật và giảm thiểu rủi ro trong tổ chức của mình.

Yêu cầu xác thực đa yếu tố

Bổ sung một tầng bảo vệ cho quy trình đăng nhập với xác thực đa yếu tố. Khi truy nhập tài khoản hoặc ứng dụng, người dùng phải cung cấp xác minh danh tính bổ sung thông qua một thiết bị đã xác minh khác.

Tự động hóa bảo mật của bạn

Giảm rủi ro từ sai số chủ quan và tăng sự hiệu quả bằng cách tự động hóa môi trường bảo mật của bạn. Ví dụ: bạn có thể tự động hạn chế đặc quyền và ngăn chặn các hành động không an toàn hoặc trái phép khi phát hiện mối đe dọa.

Loại bỏ người dùng điểm cuối

Xác định và loại bỏ người dùng điểm cuối không cần thiết khỏi nhóm quản trị cục bộ trên các máy trạm chạy Windows của bộ phận CNTT. Tác nhân đe dọa có thể sử dụng tài khoản người quản trị để chuyển từ máy trạm này sang máy trạm khác, lấy cắp thông tin xác thực khác và nâng cấp đặc quyền để di chuyển trên mạng.

Thiết lập đường cơ sở và giám sát độ lệch

Kiểm tra hoạt động của quyền truy nhập đặc quyền để xem ai đang làm gì trong hệ thống và cách mật khẩu đặc quyền được sử dụng. Việc nắm được mục đích của đường cơ sở đối với hoạt động có thể chấp nhận sẽ giúp bạn phát hiện ra các độ lệch có thể ảnh hưởng đến hệ thống.

 

Cung cấp quyền truy nhập vừa đúng lúc

Áp dụng chính sách cấp đặc quyền tối thiểu cho mọi thứ và mọi người, rồi nâng cấp đặc quyền khi cần. Điều này sẽ giúp bạn tạo phân đoạn hệ thống và mạng cho người dùng và quy trình dựa trên mức độ tin cậy, nhu cầu và đặc quyền.

Tránh quyền truy nhập đặc quyền vĩnh viễn

Cân nhắc quyền truy nhập vừa đúng lúc và quyền truy nhập vừa đủ tạm thời thay vì quyền truy nhập đặc quyền vĩnh viễn. Điều này giúp đảm bảo rằng người dùng có lý do hợp lệ cho quyền truy nhập đó và chỉ trong thời gian cần thiết.

Sử dụng tính năng kiểm soát truy nhập dựa trên hoạt động

Chỉ cấp đặc quyền vào các tài nguyên mà người đó thực sự sử dụng dựa trên hoạt động và mức sử dụng trước đây của họ. Chú ý đến việc thu hẹp khoảng cách giữa các đặc quyền được cấp và đặc quyền được sử dụng.

 

Tầm quan trọng của việc quản lý quyền truy nhập đặc quyền

Con người là mắt xích yếu nhất trong bảo mật hệ thống và các tài khoản đặc quyền tạo nguy cơ đáng kể cho tổ chức của bạn. PAM trang bị cho các nhóm bảo mật khả năng xác định các hoạt động độc hại là kết quả của việc lạm dụng đặc quyền và thực hiện hành động tức thì để khắc phục rủi ro. Giải pháp PAM có thể đảm bảo rằng nhân viên chỉ có cấp độ quyền truy nhập cần thiết để thực hiện công việc của mình.

Ngoài việc xác định các hoạt động độc hại liên quan tới hành vi lạm dụng đặc quyền, giải pháp PAM sẽ giúp tổ chức của bạn:

  • Giảm thiểu khả năng vi phạm bảo mật. Nếu xảy ra hành vi vi phạm, giải pháp PAM sẽ giúp giới hạn phạm vi tiếp cận của vi phạm này trong hệ thống của bạn.
  • Giảm lối vào và đường dẫn của các tác nhân đe dọa. Các đặc quyền hạn chế sẽ bảo vệ mọi người, quy trình và ứng dụng trước các mối đe dọa nội bộ và bên ngoài.
  • Ngăn chặn các cuộc tấn công từ phần mềm xấu. Nếu phần mềm xấu đã xâm nhập thành công, việc loại bỏ các đặc quyền thừa có thể giúp giảm mức độ lan truyền của phần mềm xấu.
  • Tạo môi trường thân thiện hơn với quy trình kiểm tra. Có được chiến lược quản lý rủi ro và bảo mật toàn diện với nhật ký hoạt động giúp bạn giám sát và phát hiện hoạt động đáng ngờ.

Cách triển khai bảo mật PAM

Để bắt đầu sử dụng giải pháp quản lý quyền truy nhập đặc quyền, bạn cần một kế hoạch để:

  1. Cung cấp khả năng quan sát đầy đủ mọi các tài khoản và danh tính đặc quyền. Giải pháp PAM sẽ cho bạn thấy mọi đặc quyền mà người dùng thực và khối lượng công việc sử dụng. Sau khi sở hữu khả năng quan sát này, hãy loại bỏ các tài khoản người quản trị mặc định và áp dụng nguyên tắc cấp đặc quyền tối thiểu.
  2. Quản trị và kiểm soát quyền truy nhập đặc quyền. Bạn sẽ cần phải luôn cập nhật quyền truy nhập đặc quyền và duy trì quyền kiểm soát nâng đặc quyền để không bị mất kiểm soát đối với quyền này và khiến an ninh mạng của tổ chức bạn gặp rủi ro.
  3. Giám sát và kiểm tra các hoạt động đặc quyền. Bắt đầu các chính sách xác định hành vi hợp pháp cho người dùng đặc quyền và xác định các hành động vi phạm các chính sách đó.
  4. Tự động hóa giải pháp PAM. Bạn có thể điều chỉnh quy mô trên hàng triệu tài khoản, người dùng và tài nguyên đặc quyền nhằm cải thiện bảo mật và sự tuân thủ của mình. Tự động hóa quy trình khám phá, quản lý và giám sát để giảm bớt các tác vụ quản trị và độ phức tạp.

Tùy theo bộ phận CNTT, bạn có thể sử dụng giải pháp PAM ngay lập tức và thêm dần các mô-đun để hỗ trợ chức năng lớn hơn và hiệu quả hơn. Bạn cũng cần cân nhắc các đề xuất kiểm soát bảo mật để đáp ứng các quy định tuân thủ.

Bạn cũng có thể tích hợp giải pháp PAM với giải pháp quản lý sự kiện và thông tin bảo mật (SIEM) .

Giải pháp quản lý quyền truy nhập đặc quyền

Chỉ riêng công nghệ là không đủ để bảo vệ tổ chức của bạn trước các cuộc tấn công qua mạng. Bạn cần giải pháp coi trọng con người, quy trình và công nghệ của bạn.

Tìm hiểu xem các giải pháp về quyền truy nhập và danh tính của Microsoft Security giúp bảo vệ tổ chức của bạn bằng cách bảo mật quyền truy nhập vào thế giới được kết nối cho tất cả người dùng, thiết bị thông minh và dịch vụ của bạn như thế nào.

Tìm hiểu thêm về Microsoft Security

Các giải pháp về quyền truy nhập và danh tính

Bảo vệ tổ chức của bạn bằng quyền truy nhập an toàn cho tất cả người dùng, thiết bị thông minh và dịch vụ.

Quản lý danh tính đặc quyền

Đảm bảo tài khoản người quản trị của bạn luôn an toàn bằng cách giới hạn quyền truy nhập vào các hoạt động quan trọng.

Quyền truy nhập có điều kiện

Đảm bảo lực lượng lao động của bạn luôn an toàn bằng cách áp dụng cơ chế kiểm soát truy nhập chi tiết với các chính sách thích ứng theo thời gian thực.

Câu hỏi thường gặp

  • Quản lý quyền truy nhập và danh tính (IAM) bao gồm các quy tắc và chính sách kiểm soát người, sự vật, thời điểm, địa điểm và cách thức truy nhập vào tài nguyên. Những tài nguyên này bao gồm quản lý mật khẩu, xác thực đa yếu tố, đăng nhập một lần (SSO)và quản lý vòng đời người dùng.

    Quản lý quyền truy nhập đặc quyền (PAM) cần thực hiện các quy trình và công nghệ cần thiết để bảo mật các tài khoản đặc quyền. Đây là một tập hợp con của IAM cho phép bạn kiểm soát và giám sát hoạt động của những người dùng đặc quyền (những người có quyền truy nhập vượt ngoài người dùng tiêu chuẩn) sau khi họ đăng nhập vào hệ thống.

  • Quản lý phiên mạnh mẽ là một công cụ bảo mật DNS cho phép bạn xem các hoạt động của người dùng đặc quyền (những người trong tổ chức của bạn có quyền truy nhập gốc vào hệ thống và thiết bị) sau khi họ đăng nhập. Biên bản kiểm tra kết quả cảnh báo bạn về việc vô tình hoặc cố ý sử dụng quyền truy nhập đặc quyền.

  • Tổ chức bạn có thể sử dụng giải pháp quản lý quyền truy nhập đặc quyền (PAM) để tăng cường vị thế bảo mật. Giải pháp này cho phép bạn kiểm soát quyền truy nhập vào hạ tầng và dữ liệu, đặt cấu hình hệ thống và quét các lỗ hổng.

  • Lợi ích của giải pháp PAM bao gồm giảm thiểu rủi ro bảo mật, giảm chi phí hoạt động và độ phức tạp, nâng cao khả năng quan sát và nhận thức tình huống trong toàn tổ chức, đồng thời cải thiện việc tuân thủ quy định của bạn.

  • Khi quyết định về giải pháp PAM cho tổ chức mình, hãy đảm bảo giải pháp này bao gồm các tính năng xác thực đa yếu tố, quản lý phiên và quyền truy nhập vừa đúng lúc, bảo mật dựa trên vai trò, thông báo trong thời gian thực, tự động hóa, cũng như các tính năng kiểm tra và báo cáo.

Theo dõi Microsoft Security