Tweet
Authentication và Authorization – Hai khái niệm mà Network Engineer thường nhầm lẫn
Rất nhiều kỹ sư mới học CCNA hoặc CCNP thường nghĩ rằng đăng nhập thành công đồng nghĩa với việc được phép truy cập mọi tài nguyên. Thực tế hoàn toàn không phải vậy.
Trong hầu hết các hệ thống bảo mật hiện đại, quá trình kiểm soát truy cập luôn diễn ra theo hai bước riêng biệt:
Nói ngắn gọn:
Hai bước này luôn đi cùng nhau nhưng đảm nhiệm hai vai trò hoàn toàn khác nhau.
Bước 1: Authentication – Xác minh danh tính
Phần bên trái của hình minh họa cho thấy hai nhân viên:
Mỗi người muốn truy cập vào hệ thống mạng đều phải chứng minh danh tính trước.
Authentication có thể thực hiện bằng nhiều phương pháp như:
Ví dụ:
Nhân viên Engineering đăng nhập bằng chứng chỉ số được cấp bởi doanh nghiệp.
Trong khi đó nhân viên Finance đăng nhập bằng:
Username
Password
MFA
Nếu hệ thống xác minh thành công:
Khi đó Authentication hoàn tất.
Điều quan trọng là:
Authentication không quyết định bạn được phép truy cập gì.
Nó chỉ xác nhận:
Bước 2: Authorization – Xác định quyền truy cập
Sau khi xác thực thành công, hệ thống mới chuyển sang bước thứ hai:
Authorization.
Lúc này hệ thống sẽ xem xét:
Dựa trên các thông tin đó, hệ thống quyết định bạn được phép truy cập những tài nguyên nào.
Trong hình minh họa có ba nhóm tài nguyên:
Ví dụ trong hình
Người dùng Engineering
Sau khi xác thực thành công, hệ thống cấp quyền:
✅ Protected Servers
✅ Shared Services
✅ Public Network
Điều này hợp lý vì kỹ sư cần truy cập:
Người dùng Finance
Người dùng Finance cũng đăng nhập thành công.
Authentication vẫn thành công.
Nhưng Authorization khác hoàn toàn.
Họ chỉ được phép:
❌ Protected Servers
✅ Shared Services
✅ Internet
Họ không được truy cập các máy chủ Engineering.
Đây chính là nguyên tắc Least Privilege (quyền tối thiểu cần thiết): mỗi người chỉ được cấp đúng những quyền phục vụ công việc của mình, giúp giảm thiểu rủi ro khi tài khoản bị lộ hoặc bị lạm dụng.
Ví dụ trong Cisco ISE
Cisco Identity Services Engine (ISE) là một ví dụ điển hình.
Khi laptop kết nối vào mạng: Authentication
ISE xác minh:
Nếu hợp lệ:
Cho phép kết nối.
Sau đó mới tới: Authorization
ISE sẽ kiểm tra:
Sau đó quyết định:
Điều này cho phép cùng một hệ thống xác thực nhưng cấp quyền truy cập khác nhau cho từng người dùng hoặc thiết bị.
Ví dụ với TACACS+
Trên thiết bị Cisco:
Authentication:
Username: admin
Password: ********
Router xác nhận:
Tiếp theo Authorization quyết định:
Người này được phép:
show running-config
Nhưng không được phép:
configure terminal
Hoặc:
reload
Đây là lý do TACACS+ rất phổ biến trong quản trị thiết bị mạng vì ngoài việc xác thực người dùng, nó còn có thể phân quyền chi tiết đến từng lệnh CLI.
Authentication thành công chưa chắc đã được phép truy cập
Một trong những hiểu lầm phổ biến là:
Điều này không đúng.
Ví dụ:
Bạn đăng nhập thành công vào Microsoft 365.
Nhưng:
Authentication đã thành công.
Authorization mới là bước quyết định bạn được phép truy cập đến đâu.
Kết luận
Authentication và Authorization là hai thành phần không thể tách rời trong mọi hệ thống bảo mật hiện đại. Authentication xác minh danh tính người dùng hoặc thiết bị, trả lời câu hỏi "Bạn là ai?". Sau khi danh tính được xác nhận, Authorization mới quyết định "Bạn được phép làm gì?" bằng cách áp dụng các chính sách dựa trên vai trò, nhóm, thiết bị, vị trí hoặc mức độ tin cậy.
Chính sự kết hợp này là nền tảng của các giải pháp như Cisco ISE, Active Directory, RADIUS, TACACS+, VPN, NAC và Zero Trust, giúp doanh nghiệp đảm bảo rằng đúng người, đúng thiết bị chỉ được cấp đúng quyền truy cập cần thiết. Điều này vừa tăng cường bảo mật, vừa giảm thiểu nguy cơ truy cập trái phép và hạn chế tác động khi tài khoản bị xâm phạm.
Rất nhiều kỹ sư mới học CCNA hoặc CCNP thường nghĩ rằng đăng nhập thành công đồng nghĩa với việc được phép truy cập mọi tài nguyên. Thực tế hoàn toàn không phải vậy.
Trong hầu hết các hệ thống bảo mật hiện đại, quá trình kiểm soát truy cập luôn diễn ra theo hai bước riêng biệt:
- Authentication (Xác thực)
- Authorization (Phân quyền)
Nói ngắn gọn:
- Authentication trả lời câu hỏi: "Bạn là ai?"
- Authorization trả lời câu hỏi: "Bạn được phép làm gì?"
Hai bước này luôn đi cùng nhau nhưng đảm nhiệm hai vai trò hoàn toàn khác nhau.
Bước 1: Authentication – Xác minh danh tính
Phần bên trái của hình minh họa cho thấy hai nhân viên:
- Engineering
- Finance
Mỗi người muốn truy cập vào hệ thống mạng đều phải chứng minh danh tính trước.
Authentication có thể thực hiện bằng nhiều phương pháp như:
- Username/Password
- Chứng chỉ số (Digital Certificate)
- Smart Card
- Token OTP
- MFA (Multi-Factor Authentication)
- Sinh trắc học (vân tay, khuôn mặt...)
Ví dụ:
Nhân viên Engineering đăng nhập bằng chứng chỉ số được cấp bởi doanh nghiệp.
Trong khi đó nhân viên Finance đăng nhập bằng:
Username
Password
MFA
Nếu hệ thống xác minh thành công:
Bạn đúng là người mà bạn khai báo.
Khi đó Authentication hoàn tất.
Điều quan trọng là:
Authentication không quyết định bạn được phép truy cập gì.
Nó chỉ xác nhận:
"Đúng, đây là anh Minh."
Bước 2: Authorization – Xác định quyền truy cập
Sau khi xác thực thành công, hệ thống mới chuyển sang bước thứ hai:
Authorization.
Lúc này hệ thống sẽ xem xét:
- Bạn thuộc phòng ban nào?
- Vai trò (Role) là gì?
- Có nằm trong nhóm AD nào?
- Có phải Administrator không?
- Có đang đăng nhập từ thiết bị tin cậy không?
- Có đang ở văn phòng hay từ Internet?
- Chính sách bảo mật hiện tại ra sao?
Dựa trên các thông tin đó, hệ thống quyết định bạn được phép truy cập những tài nguyên nào.
Trong hình minh họa có ba nhóm tài nguyên:
- Protected Servers
- Shared Services
- Public Network
Ví dụ trong hình
Người dùng Engineering
Sau khi xác thực thành công, hệ thống cấp quyền:
✅ Protected Servers
✅ Shared Services
✅ Public Network
Điều này hợp lý vì kỹ sư cần truy cập:
- Git Repository
- Source Code
- Dev Server
- Build Server
- Automation Platform
Người dùng Finance
Người dùng Finance cũng đăng nhập thành công.
Authentication vẫn thành công.
Nhưng Authorization khác hoàn toàn.
Họ chỉ được phép:
❌ Protected Servers
✅ Shared Services
✅ Internet
Họ không được truy cập các máy chủ Engineering.
Đây chính là nguyên tắc Least Privilege (quyền tối thiểu cần thiết): mỗi người chỉ được cấp đúng những quyền phục vụ công việc của mình, giúp giảm thiểu rủi ro khi tài khoản bị lộ hoặc bị lạm dụng.
Ví dụ trong Cisco ISE
Cisco Identity Services Engine (ISE) là một ví dụ điển hình.
Khi laptop kết nối vào mạng: Authentication
ISE xác minh:
- Username
- Password
- Machine Certificate
- User Certificate
Nếu hợp lệ:
Cho phép kết nối.
Sau đó mới tới: Authorization
ISE sẽ kiểm tra:
- User Group
- Device Type
- VLAN
- Location
- Time
- Security Posture
Sau đó quyết định:
- VLAN 10
- VLAN 20
- Downloadable ACL
- Security Group Tag (SGT)
- Quarantine VLAN
- Guest VLAN
Điều này cho phép cùng một hệ thống xác thực nhưng cấp quyền truy cập khác nhau cho từng người dùng hoặc thiết bị.
Ví dụ với TACACS+
Trên thiết bị Cisco:
Authentication:
Username: admin
Password: ********
Router xác nhận:
Đây là tài khoản admin.
Tiếp theo Authorization quyết định:
Người này được phép:
show running-config
Nhưng không được phép:
configure terminal
Hoặc:
reload
Đây là lý do TACACS+ rất phổ biến trong quản trị thiết bị mạng vì ngoài việc xác thực người dùng, nó còn có thể phân quyền chi tiết đến từng lệnh CLI.
Authentication thành công chưa chắc đã được phép truy cập
Một trong những hiểu lầm phổ biến là:
"Tôi đăng nhập được thì phải xem được dữ liệu."
Điều này không đúng.
Ví dụ:
Bạn đăng nhập thành công vào Microsoft 365.
Nhưng:
- Không được mở SharePoint của phòng Nhân sự.
- Không được truy cập máy chủ tài chính.
- Không được xem cơ sở dữ liệu khách hàng.
Authentication đã thành công.
Authorization mới là bước quyết định bạn được phép truy cập đến đâu.
Kết luận
Authentication và Authorization là hai thành phần không thể tách rời trong mọi hệ thống bảo mật hiện đại. Authentication xác minh danh tính người dùng hoặc thiết bị, trả lời câu hỏi "Bạn là ai?". Sau khi danh tính được xác nhận, Authorization mới quyết định "Bạn được phép làm gì?" bằng cách áp dụng các chính sách dựa trên vai trò, nhóm, thiết bị, vị trí hoặc mức độ tin cậy.
Chính sự kết hợp này là nền tảng của các giải pháp như Cisco ISE, Active Directory, RADIUS, TACACS+, VPN, NAC và Zero Trust, giúp doanh nghiệp đảm bảo rằng đúng người, đúng thiết bị chỉ được cấp đúng quyền truy cập cần thiết. Điều này vừa tăng cường bảo mật, vừa giảm thiểu nguy cơ truy cập trái phép và hạn chế tác động khi tài khoản bị xâm phạm.
Attached Files