Trong kỷ nguyên số, bảo mật không còn là tùy chọn mà là yêu cầu bắt buộc. Để đảm bảo tính bảo mật (Confidentiality), toàn vẹn (Integrity) và sẵn sàng (Availability) của hệ thống, dữ liệu và tài nguyên, tổ chức cần triển khai cơ chế kiểm soát truy cập (Access Control) hiệu quả.

Hai mô hình kiểm soát truy cập phổ biến và quan trọng nhất hiện nay là:

• ✅ AAA (Authentication – Authorization – Accounting)
• ✅ RBAC (Role-Based Access Control)

Bài viết này sẽ giúp bạn hiểu AAA và RBAC là gì, hoạt động ra sao, và vì sao chúng đóng vai trò cốt lõi trong an ninh mạng.

---

🧩 AAA là gì?

AAA là viết tắt của Authentication, Authorization và Accounting – một framework bảo mật mạng được sử dụng rộng rãi để xác thực, phân quyền và giám sát người dùng khi truy cập tài nguyên. 🔑 1. Authentication – Xác thực

Authentication là quá trình xác minh danh tính người dùng trước khi cho phép truy cập hệ thống.

• Người dùng phải cung cấp thông tin đăng nhập hợp lệ (username/password)
• Có thể áp dụng các phương thức nâng cao như MFA (Multi-Factor Authentication)
• Máy chủ AAA sẽ so sánh thông tin đăng nhập với cơ sở dữ liệu người dùng

👉 Nếu thông tin hợp lệ → cho phép truy cập
👉 Nếu không hợp lệ → từ chối truy cập

📌 Mục tiêu: Chỉ những thực thể được phép mới có thể vào hệ thống

---

🛂 2. Authorization – Phân quyền

Sau khi xác thực thành công, Authorization quyết định:
Ví dụ:

• Người dùng có được phép:
  • Xem cấu hình?
  • Thay đổi cấu hình?
  • Chạy lệnh quản trị?

Quyền truy cập được xác định dựa trên:

• Vai trò (role)
• Nhóm người dùng
• Chính sách bảo mật

📌 Mục tiêu: Đúng người – đúng quyền – đúng thời điểm

---

📊 3. Accounting – Ghi nhận & giám sát

Accounting là quá trình ghi log và theo dõi hoạt động người dùng, bao gồm:

• Ai đã truy cập?
• Truy cập vào đâu?
• Thời gian nào?
• Thực hiện hành động gì?

Thông tin này rất quan trọng cho:

• 🔍 Điều tra sự cố
• 🧾 Kiểm toán (audit)
• 📈 Giám sát & phát hiện hành vi bất thường

📌 Mục tiêu: Truy vết – minh bạch – trách nhiệm

---

🖼️ Tổng quan AAA

AAA đảm bảo an ninh mạng bằng cách:

• ✔️ Xác thực danh tính
• ✔️ Kiểm soát quyền truy cập
• ✔️ Ghi nhận trách nhiệm người dùng

👉 Đây là xương sống của các hệ thống mạng doanh nghiệp, ISP, VPN, firewall, router, switch…

---

🧑‍💼 RBAC – Role-Based Access Control là gì?

RBAC là cơ chế kiểm soát truy cập dựa trên vai trò công việc, thay vì cấp quyền trực tiếp cho từng người dùng.

Thay vì hỏi:
RBAC hỏi:

---

🔹 Các thành phần chính của RBAC

👔 Role – Vai trò

Role đại diện cho vị trí hoặc chức năng công việc trong tổ chức.
Ví dụ:

• Accountant (Kế toán)
• Engineer (Kỹ sư)
• Administrator (Quản trị viên)

Người dùng có cùng trách nhiệm sẽ được gán cùng một role.

---

🔐 Permission – Quyền hạn

Permission xác định hành động mà role được phép thực hiện, như:

• Read (đọc)
• Write (ghi)
• Modify (sửa)
• Delete (xóa)

📌 Một role có thể có nhiều permission
📌 Một người dùng có thể có nhiều role và kế thừa tất cả quyền của các role đó

---

👤 Assignment – Gán vai trò

Người dùng được gán vào một hoặc nhiều role, và tự động thừa hưởng quyền tương ứng.

👉 Không cần cấu hình quyền thủ công cho từng user

---

🚀 Ưu điểm nổi bật của RBAC

✅ Quản lý tập trung: kiểm soát quyền từ một nơi duy nhất
✅ Dễ mở rộng (scalable): phù hợp với tổ chức lớn
✅ Giảm sai sót cấu hình
✅ Tiết kiệm thời gian quản trị
✅ Chuẩn hoá theo mô hình bảo mật doanh nghiệp

📌 RBAC đặc biệt hiệu quả trong:

• Hệ thống doanh nghiệp
• Cloud (AWS IAM, Azure RBAC)
• DevOps & Kubernetes
• SOC / NOC

---

🔚 Kết luận

• AAA đảm bảo ai được vào – được làm gì – và đã làm gì
• RBAC giúp quản lý quyền truy cập đơn giản, rõ ràng và có hệ thống

👉 Khi kết hợp AAA + RBAC, tổ chức sẽ có một hệ thống kiểm soát truy cập mạnh mẽ, linh hoạt và an toàn, giảm thiểu rủi ro tấn công nội bộ và rò rỉ dữ liệu.
​