Tweet
Kiểm soát truy cập an toàn: AAA và RBAC
Để đảm bảo tính bảo mật, tính bí mật và an toàn cho tài nguyên, hệ thống và dữ liệu, việc triển khai cơ chế kiểm soát truy cập phù hợp là vô cùng quan trọng. Khi áp dụng kiểm soát truy cập hiệu quả, doanh nghiệp có thể giảm thiểu nguy cơ:
Trong phần này, bạn sẽ tìm hiểu hai cơ chế kiểm soát truy cập phổ biến:
AAA (Authentication, Authorization, Accounting)
AAA là framework bảo mật mạng dùng để kiểm soát và quản lý quyền truy cập tài nguyên. 1️⃣ Authentication (Xác thực)
Là quá trình xác minh danh tính người dùng.
Mục tiêu:
Các phương thức xác thực:
AAA server sẽ:
2️⃣ Authorization (Phân quyền)
Sau khi xác thực thành công, hệ thống sẽ xác định:
Ví dụ:
Phân quyền dựa trên:
3️⃣ Accounting (Ghi nhận / Nhật ký)
Ghi lại hoạt động người dùng:
Accounting giúp:
Role-Based Access Control (RBAC)
RBAC là cơ chế kiểm soát truy cập dựa trên vai trò.
Thay vì gán quyền trực tiếp cho từng người dùng, hệ thống:
Thành phần chính của RBAC
1️⃣ Role (Vai trò)
Đại diện cho vị trí hoặc chức năng trong tổ chức.
Ví dụ:
2️⃣ Permission (Quyền)
Xác định hành động được phép:
Mỗi vai trò có tập quyền riêng.
3️⃣ Assignment (Gán vai trò)
Người dùng được gán vào một hoặc nhiều vai trò.
Khi người dùng thuộc nhiều vai trò:
👉 Họ kế thừa tất cả quyền của các vai trò đó.
Ưu điểm của RBAC
❓ Câu hỏi ôn tập
Điều gì xảy ra khi một người dùng được gán vào nhiều vai trò trong hệ thống RBAC?
✅ Đáp án đúng:
The user inherits permissions from all roles assigned.
Để đảm bảo tính bảo mật, tính bí mật và an toàn cho tài nguyên, hệ thống và dữ liệu, việc triển khai cơ chế kiểm soát truy cập phù hợp là vô cùng quan trọng. Khi áp dụng kiểm soát truy cập hiệu quả, doanh nghiệp có thể giảm thiểu nguy cơ:
- Rò rỉ dữ liệu
- Thay đổi trái phép
- Các sự cố bảo mật
Trong phần này, bạn sẽ tìm hiểu hai cơ chế kiểm soát truy cập phổ biến:
- AAA (Authentication, Authorization, Accounting)
- RBAC (Role-Based Access Control)
AAA (Authentication, Authorization, Accounting)
AAA là framework bảo mật mạng dùng để kiểm soát và quản lý quyền truy cập tài nguyên. 1️⃣ Authentication (Xác thực)
Là quá trình xác minh danh tính người dùng.
Mục tiêu:
- Đảm bảo chỉ người dùng được ủy quyền mới truy cập được mạng.
Các phương thức xác thực:
- Username / Password
- Multi-Factor Authentication (MFA)
- Certificate
- Token…
AAA server sẽ:
- So sánh thông tin đăng nhập với cơ sở dữ liệu
- Nếu khớp → cho phép truy cập
- Nếu không khớp → từ chối truy cập
2️⃣ Authorization (Phân quyền)
Sau khi xác thực thành công, hệ thống sẽ xác định:
- Người dùng được phép làm gì?
Ví dụ:
- Có được phép cấu hình thiết bị không?
- Chỉ được xem thông tin?
- Hay được chỉnh sửa cấu hình?
Phân quyền dựa trên:
- Vai trò (role)
- Nhóm (group)
- Thuộc tính người dùng
3️⃣ Accounting (Ghi nhận / Nhật ký)
Ghi lại hoạt động người dùng:
- Ai truy cập?
- Truy cập khi nào?
- Thực hiện thao tác gì?
Accounting giúp:
- Troubleshooting
- Billing
- Audit bảo mật
Role-Based Access Control (RBAC)
RBAC là cơ chế kiểm soát truy cập dựa trên vai trò.
Thay vì gán quyền trực tiếp cho từng người dùng, hệ thống:
- Tạo vai trò (Role)
- Gán quyền (Permission) cho vai trò
- Gán người dùng vào vai trò
Thành phần chính của RBAC
1️⃣ Role (Vai trò)
Đại diện cho vị trí hoặc chức năng trong tổ chức.
Ví dụ:
- Accountant
- Engineer
- Network Admin
2️⃣ Permission (Quyền)
Xác định hành động được phép:
- Read
- Write
- Modify
- Delete
Mỗi vai trò có tập quyền riêng.
3️⃣ Assignment (Gán vai trò)
Người dùng được gán vào một hoặc nhiều vai trò.
Khi người dùng thuộc nhiều vai trò:
👉 Họ kế thừa tất cả quyền của các vai trò đó.
Ưu điểm của RBAC
- Quản lý tập trung
- Đơn giản hóa kiểm soát truy cập
- Dễ mở rộng khi tổ chức phát triển
- Không cần cấu hình từng user riêng lẻ
❓ Câu hỏi ôn tập
Điều gì xảy ra khi một người dùng được gán vào nhiều vai trò trong hệ thống RBAC?
✅ Đáp án đúng:
The user inherits permissions from all roles assigned.
Attached Files