Microsoft Zero Trust Identity Access | Bảo vệ doanh nghiệp

Bài viết mô tả các khái niệm về quản lý định danh & quyền truy cập trong mô hình Microsoft Zero Trust Identity Access. Giúp hiểu rõ nguyên tác hoạt động để bảo vệ tổ chức, kết hợp sử dụng Azure AD trong gói Microsoft 365. Giúp truy cập bằng hình thức đa lớp xác thực MFA giảm nguy cơ vi phạm bảo mật.

Microsoft Zero Trust Identity Access là gì?

Ngày nay, thước đo tiêu chuẩn bảo mật trong doanh nghiệp ngày đang chuyển đổi nhanh chóng. Ứng dụng trên đám mây, thiết bị cá nhân, dữ liệu on-premise đến hybrid hoặc cloud. Nhân viên làm việc từ xa, trên thiết bị cá nhân, chia sẻ dữ liệu cho đối tác. Dù qua VPN tương tác dữ liệu, vẫn thiếu khả năng bảo mật hoặc giải pháp ứng phó kịp thời. Giải pháp Microsoft Zero Trust Identity & Access giúp định danh đúng người nhân viên sử dụng dữ liệu.

Identity and access management

Quản lý định danh và truy cập là xác định người dùng với các thông tin được cấp cho họ. Có thể thông qua gói Microsoft 365 có các phương thức MFA, xác định người truy cập thông qua vị trí truy cập, thiết bị đang dùng, thời gian truy xuất. Tất cả yếu tố này sẽ quyết định người dùng có được truy cập hay không.

Identity chính là trung tâm điều khiển & kiểm soát trong việc bảo vệ dữ liệu doanh nghiệp. Bên cạnh bảo vệ, nó giúp doanh nghiệp xây chiến lực quản lý định danh người truy cập.

Hybrid Identity

Hybrid Identity là sử dụng các tài khoản có trong hệ thống Active Directory. Sau đó, sao chép copy các tài khoản này lên Azure AD trong các gói Microsoft 365.

Triển khai định danh dạng hybrid thì AD on-premise là nguồn xác thực thông tin. Kết hợp Azure AD Connect để đồng bộ với tài khoản người dùng trên Azure AD. Việc này giúp định danh cùng lúc cho người dùng truy cập vào các cloud và lẫn mạng nội bộ.

Cloud Identity

Cloud Identity là việc chỉ định danh cho người dùng truy cập các dịch vụ trên cloud thông qua Azure AD. Theo cách này người dùng trong doanh nghiệp sử dụng tài khoản Microsoft 365 để đăng nhập.

Triển khai định danh theo Zero Trust

Trong mô hình Zero Trust, mọi yêu cầu truy cập đều được xác thực mạnh mẽ. Được ủy quyền thực thi chính sách và kiểm tra các điểm bất thường trước khi cấp quyền truy cập. Mọi thông tin lấy để danh tính người dùng vào ứng dụng đều được sử dụng để ngăn vi phạm. Áp dụng nguyên tắc phân nhỏ và nguyên tắc truy cập đồng nhất để giảm sai phạm. Phân nhỏ là tạo vùng an toàn để phân chia khối lượng công việc, mỗi khối lượng công việc đều có thể được bảo mật. Cuối cùng, thuật toán phân tích giúp xác định điều gì đã xảy ra, điều gì đã bị xâm phạm và cách ngăn điều đó xảy ra lần nữa.

Các nguyên tắc của Zero Trust (Nhắc lại)

• Verify explicitly. Luôn luôn xác thực. Định danh người dùng xảy ra ở nguyên tắc này. Bên cạnh xác định các yếu tố vị trí tọa độ, tình trạng thiết bị, trước khi cấp quyền.
• Use the least privileged access. Giới hạn quyền truy cập, để phân nhỏ công việc đảm bảo bảo mật tuyệt đối.
• Assume breach. Luôn giả sử là truy cập vi phạm để lưu giữ phương thức tránh bị lập lại.

Zero Trust sử dụng biện pháp kiểm soát truy cập thông minh. Xem xét các tín hiệu nguy hiểm hoặc rủi ro từ người dùng và thiết bị động. Trong từng trường hợp cụ thể, sẽ cấp phép truy ứng dụng & tài nguyên của doanh nghiệp.

Zero Trust xem xét dựa trên 3 khía cạnh

• Signals to inform decisions. Quyết định cho truy cập dựa trên các tín hiệu thu thập được từ người dùng hoặc thiết bị.
• Policies to make access decisions. Dựa theo các chính sách thiết lập trước để kiểm soát việc truy cập tài nguyên.
• Enforcement capabilities to implement. Buộc thực thi các hành động để có quyền truy cập tài nguyên. Chỉ cho phép đọc Read-Only khi sử dụng một số dịch vụ SaaS. Hoặc yêu cầu reset mật khẩu, khi xét thấy mật khẩu đã bị lộ.

Quản lý Microsoft Zero Trust Identity Access qua Azure AD của Microsoft 365

Trong các gói Microsoft 365, Azure AD giúp quản lý truy cập và kiếm soát tài nguyên của doanh nghiệp. Điều này phù hợp với mô hình Zero Trust với việc quản lý định danh và truy cập.

Conditional Access là gì?

Là việc quản lý định danh, cấp quyền truy cập an toàn & bảo vệ dữ liệu nhạy cảm. Từ Signals người dùng, thiết bị, ứng dụng, vị trí, đánh giá rủi ro trước khi cho truy cập. Conditional Access được thực hiện theo câu điều kiện, hay gọi là lệnh nếu thì (if- then). Nếu người dùng muốn truy cập một tài nguyên, thì họ phải hoàn thành một hành động. Ví dụ người quản lý bảng lương muốn truy cập ứng dụng tính lương. Thì cần được yêu cầu thực hiện các bước xác thực (đa yếu tố MFA) để truy cập ứng dụng. (xem minh họa bên dưới)

Các Signals cho Conditional Access

Khi có một yêu cầu xin truy cập, Conditional Access sẽ xét thông tin từ các Signal. Phân tích & xác định rủi ro có thể xảy ra, để quyết định cho hoặc từ chối yêu cầu. Các Signal thường được dùng bao gồm:

• User hoặc group membership. Lập chính sách truy cập cho người dùng hoặc nhóm nhất định để kiểm việc truy cập.
• IP Location. Có thể chọn chặn hoặc cho phép lưu lượng truy cập từ toàn bộ dải IP hoặc IP quốc gia.
• Device. Người dùng với thiết bị cụ thể sẽ được đánh dấu tình trạng thực thi chính sách truy cập.
• Application. Người dùng cố truy cập một ứng dụng có thể sẽ cần thực thi chính sách.
• Real-time and calculated risk detection. Kết hợp với định danh Azure, thực thi chính sách Conditional Access khi có hành vi bất thường.
• Microsoft Cloud App Security. Cho phép truy cập ứng dụng, sẽ được theo dõi và kiểm soát real-time.

Các quyết định được đưa ra từ Conditional Access

Conditional Access sẽ giúp quyết định cho phép người dùng truy cập vào tài nguyên của tổ chức. Có thể cấu hình chính sách để kiểm soát một cách chi tiết những trường hợp gửi yêu cầu. Các quyết định được đưa ra bao gồm:

• Block Access. Chặn không cho truy cập.
• Grant Access. Cấp quyền truy cập. Có thể tiếp tục yêu cầu kiểm tra thêm như sau:
  • Xác thực đa yếu tố.
  • Thiết bị phải tuân thủ chính sách.
  • Thiết bị kết nối Azure.
  • Yêu cầu xác thực bằng ứng dụng.

Mua bản quyền Identity và Conditional Access

Như đã biết Identity và Conditional Access liên quan đến dịch vụ Azure AD. Dịch vụ này có thể miễn phí trong gói Microsoft 365 hoặc Azure Premium P1 vs P2. Hiện tại, Azure Premium P1 có sẵn trong các gói Microsoft 365 Enterprise E3, F1 & F3. Có thể trang bị Azure Premium P2 qua các gói Microsoft 365 E5, F5.

• Azure AD Free cho self-service password change (tự đổi mật khẩu), MFA, báo cáo security basic và B2B collaboration.
• Dịch vụ Azure AD Premium P1 sẽ có cả Azure AD Free, Conditional Access cho nhóm, location, device status.
• Cao cấp nhât là Azure AD Premium P2 sẽ bao gồm cả P1, và nâng cấp các tính năng lên mức độ cao hơn.

Secure authentication – Xác thực bảo mật

Giúp giảm nguy cơ bị kẻ xấu tấn công qua phương thức đánh cấp định danh người dùng. Hầu hết các cuộc đánh cấp đều là do đánh cấp mật khẩu. Azure AD với Microsoft 365 giúp cải thiện tình trạng này hiệu quả hơn với MFA hoặc xác thực không cần mật khẩu.Người dùng thường phải nhớ hay đối mặt với nhiều vấn đề mật khẩu như sau:

• Tạo mật khẩu mạnh sẽ có thể khó nhớ.
• Người dùng thường sử dụng lại mật khẩu trên nhiều trang web khác nhau.
• Máy chủ bị tấn công có thể làm lộ thông tin xác thực mạng đối xứng (mật khẩu).
• Người dùng vô tình để lộ mật khẩu do dạng cuộc tấn công lừa đảo.

Sử dụng đa xác thực Multi-Factor Authentication

Multi-factor authentication (MFA) là quy trình người dùng được nhắc khi đăng nhập về một hình thức nhận dạng bổ sung. Chẳng hạn như, sử dụng Code được gửi đến điện thoại hoặc quét vân tay.

Nếu chỉ sử dụng mật khẩu để xác thực người dùng, thì sẽ không an toàn tuyệt đối. Mật khẩu yếu hoặc đã bị lộ ở nơi khác, thì đó có là người dùng đăng nhập hay đó là kẻ tấn công? Khi được yêu cầu xác thực lần hai, tính bảo mật sẽ được tăng lên, kẻ tấn công không dễ lấy được.

Azure MFA sẽ yêu cầu xác thực lần hai hoặc nhiều hơn:

• Something you know. Thông thường là chỉ yêu cầu mật khẩu của người dùng.
• Something you have. Yêu cầu sử dụng trên các thiết bị tin cậy, hoặc mã xác thực điện thoại.
• Cuối cùng, Something you are. Dùng sinh trắc hoặc nhận diện khuôn mặt, vân tay.

Người dùng có thể được Azure MFA yêu cầu đăng ký sử dụng một trong các phương thức sau:

• Microsoft Authenticator app. Phần mềm tải trên mobile.
• SMS. Tin nhắn từ sim.
• Voice call. Cuộc gọi báo mã số
• OATH Hardware token. Thiết bị cứng, có thể mã truy cập.

Sử dụng phương thức xác thực không mật khẩu – Passwordless Authentication là gì?

Xác thực Đa yếu tố thay thế mật khẩu bằng một giải pháp thay thế an toàn. Sử dụng phương pháp xác thực không cần mật khẩu sẽ loại bỏ hoàn toàn các mật khẩu dễ bị tấn công. Người dùng xác thực bằng cách sử dụng thứ họ có như điện thoại thông minh, sinh trắc học. Hoặc thứ họ biết mã PIN gắn với một thiết bị cụ thể.

• Loại bỏ lỗ hổng bảo mật: mật khẩu yếu có thể bị đánh cắp.
• Sử dụng nhận dạng khuôn mặt và xác thực sinh trắc học để giúp đảm bảo đúng người có quyền truy cập.
• Gắn mã PIN vào thiết bị để tin tặc cần đánh cắp cả hai.

Azure AD hỗ trợ Fast Identity Online 2 (FIDO2). FIDO2 là một tiêu chuẩn mở để xác thực không cần mật khẩu. Đây tiêu chuẩn để đăng nhập vào tài nguyên không cần ID & PW. Dạng này áp dụng cho các máy tính dùng chung và thiết bị di động. Phù hợp với dạng nhân sự làm việc theo ca, hoặc phải di chuyển như trong bệnh viện, hoặc nhân viên floor salesman.

Microsoft Authenticator

Một trong các xác thực không mật khẩu, sử dụng qua ứng dụng trên thiết bị di động. Tải Microsoft Authentication tại đây

Windows Hello & Biometric sign-in

Phương thức xác thực quá quen thuộc với tổ chức sử dụng hệ điều hành Windows 10. Nhận diện khuôn mặt hoặc vân tay, được tích hợp sẵn trên các thiết bị phần cứng.

Như vậy, Microsoft Zero Trust Identity Access giúp dễ dàng truy cập từ thiết bị đến ứng dụng một cách an toàn. Dữ liệu và tài nguyên của doanh nghiệp sẽ giảm bớt các vấn đề bị xâm phạm. Azure AD chính là một dịch vụ đắc lực giúp doanh nghiệp có thể triển khai phần Identity trong mô hình Zero Trust.