Bảo mật

Authentication, Authorization và Accounting (AAA)

Authentication, Authorization và Accounting là một framework bảo mật kiểm soát quyền truy cập vào hệ thống công nghệ thông tin như hệ thống máy tính, hệ thống máy chủ, hạ tầng kết nối… giúp thực thi các chính sách và kiểm soát các hành động. AAA kết hợp chặt chẽ cùng các quy trình sẽ luôn bảo vệ hệ thống và giám sát người dùng trong suốt quá trình họ thực hiện kết nối vào hệ thống.

Authentication (Xác thực)

Authentication đề cập đến việc xác thực người dùng rằng họ là ai. Người dùng gửi các thông tin xác thực đăng nhập để xác nhận họ là người mà họ đang yêu cầu. Là một công cụ quản lý danh tính và truy cập (IAM), máy chủ AAA sẽ so sánh thông tin xác thực của người dùng với cơ sở dữ liệu chứa thông tin xác thực được lưu trữ bằng cách kiểm tra xem tên người dùng, mật khẩu, MFA và các công cụ xác thực khác có chính xác với người dùng cụ thể đó hay không.

Ba loại xác thực bao gồm thông tin người dùng biết, như mật khẩu, thông tin người dùng có, như Universal Serial Bus (USB) key, và thông tin thuộc về người dùng, chẳng hạn như dấu vân tay hoặc sinh trắc học khác.

Authorization (Ủy quyền)

Authorization (ủy quyền) luôn theo sau Authentication (xác thực). Trong quá trình ủy quyền, người dùng sẽ được phân các đặc quyền riêng biệt để truy cập vào hệ thống hoặc một số khu vực nhất định của hệ thống. Các khu vực được truy cập và bộ phân quyền được cấp cho người dùng sẽ được lưu trữ trong cơ sở dữ liệu cùng với danh tính của người dùng đó. Đặc quyền của người dùng có thể được thay đổi bởi quản trị viên cấp cao. Ủy quyền khác với xác thực ở chỗ xác thực chỉ kiểm tra danh tính của người dùng, trong khi ủy quyền chỉ ra những gì người dùng được phép làm.

Ví dụ nếu đăng nhập với quyền User vào hệ thống, người dùng sẽ không thể thay password đăng nhập của người dùng khác, trong khi với quyền Administrator thì quản trị viên có thể làm điều đó.

xác thực, ủy quyền và kiểm toán

Accounting (Kiểm toán)

Accounting (kiểm toán) theo dõi hoạt động của người dùng trong khi người dùng đang đăng nhập vào hệ thống bằng cách theo dõi các thông tin như thời gian họ đã đăng nhập, dữ liệu họ đã thay đổi hoặc họ đã truy cập vào hệ thống bằng IP nào. Mã định danh tài nguyên thống nhất (Uniform Resource Identifier – viết tắt là URI) mà họ đã sử dụng và các dịch vụ khác nhau mà họ đã truy cập.

Accounting (kiểm toán) có thể được sử dụng để phân tích xu hướng người dùng, kiểm tra hoạt động của người dùng và cung cấp thông tin chính xác hơn. Điều này có thể được thực hiện bằng cách tận dụng dữ liệu được thu thập trong quá trình truy cập của người dùng.

Tại sao AAA framework lại quan trọng trong an ninh mạng?

AAA là một phần quan trọng của an ninh mạng vì nó giới hạn người có quyền truy cập vào hệ thống và luôn theo dõi hoạt động của họ. Bằng cách này, những tác nhân độc hại có thể bị ngăn chặn và “một kẻ được cho là tốt” lạm dụng đặc quyền của họ thao tác vào hệ thống có thể bị theo dõi, điều này mang lại cho ban quản trị hệ thống có thông tin giá trị về các hoạt động của người dùng.

Có hai loại AAA dành cho networking: Network access và Device administration:

  • Network access: Bao gồm việc ngăn chặn, cấp hoặc giới hạn quyền truy cập dựa trên thông tin xác thực của người dùng. AAA xác minh danh tính của thiết bị hoặc người dùng bằng cách so sánh thông tin được người dùng đưa vào hoặc so sánh với cơ sở dữ liệu thông tin xác thực đã được phê duyệt. Nếu thông tin trùng khớp, quyền truy cập vào mạng sẽ được cấp.
  • Device administration: Quản trị thiết bị liên quan đến việc kiểm soát quyền các truy cập trong phiên kết nối như console vào thiết bị mạng, secure shell (SSH)…v..v. Kiểu truy cập này khác với truy cập mạng vì nó không giới hạn ai được phép truy cập vào mà thay vào đó họ có thể truy cập vào những thiết bị gì.

Các loại giao thức AAA

Có một số giao thức được kết hợp với các thành phần của AAA để đảm bảo an ninh danh tính.

  • Remote authentication dial-In user service (RADIUS): RADIUS hoạt động theo ba giai đoạn: người dùng gửi yêu cầu đến máy chủ truy cập mạng (Network Access Server – viết tắt là NAS), sau đó NAS gửi yêu cầu truy cập vào máy chủ RADIUS, phản hồi yêu cầu bằng cách chấp nhận, từ chối hoặc sẽ hỏi thêm các thông tin bổ sung khác.
  • Diameter: Diameter là một bước cải tiến của RADIUS, từ lâu đã được sử dụng trong ngành viễn thông. Tuy nhiên, Diameter được thiết kế để tối ưu hóa cho kết nối LTE và các loại mạng di động khác.
  • Terminal access controller access-control system plus (TACACS+): Tương tự như RADIUS, TACACS+ sử dụng mô hình client/server để xác thực người dùng. Tuy nhiên, TACACS+ cho phép kiểm soát chặt chẽ hơn về cách thức các lệnh ủy quyền. TACACS+ hoạt động bằng cách sử dụng khóa bí mật (secret key) của người dùng và hệ thống TACACS+ biết chính xác khóa này. Khi secret key hợp lệ được khai báo thì người dùng sẽ được phép truy cập. TACACS+ tách biệt các quy trình xác thực và ủy quyền, điều này khác biệt với RADIUS. Ngoài ra, TACACS+ và RADIUS đều mã hóa các gói tin AAA.

Bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *