Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Xác thực chỉ là bước đầu, quyền truy cập mới là điều quan trọng

    Xác thực chỉ là bước đầu, quyền truy cập mới là điều quan trọng


    Khi mới học 802.1X, chúng ta thường nghĩ rằng mọi việc kết thúc sau khi người dùng đăng nhập thành công.

    Thực tế, Authentication chỉ trả lời câu hỏi: "Bạn là ai?"

    Điều doanh nghiệp thực sự quan tâm lại là:
    "Bạn được phép làm gì sau khi đã vào mạng?"

    Đó chính là nhiệm vụ của Authorization.

    Nói cách khác, Authentication mở cánh cửa, còn Authorization quyết định bạn được đi đến đâu sau khi bước qua cánh cửa đó.
    Một tài khoản, nhiều quyền truy cập khác nhau


    Hãy tưởng tượng ba người cùng kết nối vào một switch:
    • Một nhân viên IT.
    • Một nhân viên kế toán.
    • Một khách đến họp.

    Cả ba đều xác thực thành công với Cisco ISE.

    Nếu chỉ có Authentication, cả ba sẽ có quyền truy cập giống nhau.

    Nhưng với Authorization, Cisco ISE có thể cấp ba mức quyền hoàn toàn khác nhau dù họ kết nối vào cùng một cổng switch hoặc cùng một SSID Wi-Fi.

    Đó mới là sức mạnh thực sự của 802.1X.
    Dynamic VLAN Assignment


    Sau khi xác thực, Cisco ISE có thể yêu cầu switch tự động đưa người dùng vào đúng VLAN.

    Ví dụ:
    • Nhân viên IT → VLAN 10
    • Phòng Kế toán → VLAN 20
    • Khách → VLAN 100

    Người dùng không cần cắm vào đúng cổng vật lý. Chỉ cần đăng nhập, hệ thống sẽ tự cấp VLAN phù hợp.
    Dynamic ACL (dACL)


    Nếu VLAN vẫn chưa đủ chi tiết, Cisco ISE có thể gửi Downloadable ACL (dACL) trực tiếp xuống switch.

    Ví dụ:
    • Chỉ được truy cập máy chủ ERP.
    • Chỉ được phép dùng HTTPS.
    • Chặn SSH, RDP hoặc SMB.
    • Chỉ được truy cập Internet.

    Quyền truy cập lúc này được kiểm soát đến từng giao thức và cổng TCP/UDP.
    Time-Based Access


    Không phải người dùng nào cũng được phép truy cập 24/7.

    Cisco ISE có thể giới hạn thời gian truy cập theo chính sách.

    Ví dụ:
    • Nhà thầu chỉ được truy cập từ 8:00 đến 17:00.
    • Sinh viên chỉ được sử dụng phòng lab trong giờ học.
    • Tài khoản tạm thời tự động hết hiệu lực sau một khoảng thời gian.

    Scalable Group Access (SGA)


    Đây là một trong những tính năng nổi bật của Cisco TrustSec.

    Thay vì dựa vào VLAN hoặc địa chỉ IP, Cisco ISE sẽ gán cho mỗi phiên kết nối một Security Group Tag (SGT) đại diện cho vai trò của người dùng hoặc thiết bị.

    Ví dụ:
    • Employee
    • Finance
    • HR
    • Guest
    • Camera
    • IoT

    Các switch hoặc firewall ở gần đích chỉ cần đọc SGT để áp dụng Security Group ACL (SGACL) tương ứng.

    Nhờ đó, chính sách bảo mật không còn phụ thuộc vào địa chỉ IP hay topology mạng, giúp triển khai Microsegmentation đơn giản và dễ mở rộng hơn rất nhiều.
    Vendor Specific Attributes (VSA)


    Ngoài các thuộc tính RADIUS chuẩn, nhiều nhà sản xuất còn bổ sung các Vendor Specific Attributes (VSA) để triển khai những tính năng riêng.

    Điều này giúp Authentication Server có thể áp dụng các chính sách đặc thù phù hợp với từng loại thiết bị mạng trong môi trường đa hãng.
    Kết luận


    802.1X không dừng lại ở việc xác minh danh tính người dùng hay thiết bị. Giá trị lớn nhất của nó nằm ở Authorization – khả năng cấp đúng quyền cho đúng đối tượng ngay sau khi xác thực thành công. Với Cisco ISE, doanh nghiệp có thể tự động gán VLAN, áp dụng dACL, giới hạn thời gian truy cập, hoặc triển khai Scalable Group Access (SGA) dựa trên Security Group Tag (SGT). Nhờ đó, hai người dùng kết nối vào cùng một cổng switch vẫn có thể nhận những quyền truy cập hoàn toàn khác nhau. Đây cũng là nền tảng để triển khai Role-Based Access Control (RBAC), Microsegmentation, Cisco TrustSec và kiến trúc Zero Trust trong các mạng doanh nghiệp hiện đại.
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
Working...
X