CoA – "Nâng hạng" quyền truy cập mà không cần đăng nhập lại
Một trong những tính năng mạnh nhất của Cisco ISE nhưng lại ít được nhắc đến là Change of Authorization (CoA).
Thông thường, nhiều người nghĩ rằng sau khi 802.1X xác thực thành công, quyền truy cập sẽ giữ nguyên cho đến khi người dùng ngắt kết nối.
Thực tế không phải vậy.
Trong một mạng hiện đại, quyền truy cập có thể thay đổi bất kỳ lúc nào nếu trạng thái của người dùng hoặc thiết bị thay đổi.
Đó chính là nhiệm vụ của CoA.
Hãy tưởng tượng bạn vào một tòa nhà văn phòng
Bạn quẹt thẻ tại cổng.
Bảo vệ xác nhận danh tính và cho phép bạn đi vào sảnh.
Nhưng điều đó không có nghĩa bạn được phép vào phòng máy chủ hay trung tâm dữ liệu.
Trước tiên, bạn có thể phải:
Sau khi hoàn tất các yêu cầu này, bộ phận an ninh sẽ nâng quyền truy cập mà không yêu cầu bạn ra ngoài rồi quẹt thẻ lại.
CoA hoạt động gần như vậy.
Ban đầu chỉ được cấp quyền tối thiểu
Ngay sau khi xác thực 802.1X thành công, Cisco ISE không nhất thiết cấp toàn bộ quyền truy cập.
Thay vào đó, thiết bị thường chỉ được phép sử dụng những dịch vụ cần thiết như:
Mục tiêu là để ISE có thời gian đánh giá thiết bị trước khi trao quyền đầy đủ.
Cisco ISE tiếp tục "quan sát" thiết bị
Trong khi người dùng đã kết nối, Cisco ISE vẫn âm thầm thực hiện nhiều tác vụ như:
Ví dụ, nếu phát hiện máy tính:
ISE sẽ quyết định rằng thiết bị đủ điều kiện để nhận quyền truy cập cao hơn.
CoA xuất hiện đúng lúc
Thay vì yêu cầu người dùng rút cáp mạng hoặc đăng nhập lại, Cisco ISE chỉ cần gửi một bản tin:
Change of Authorization (CoA)
đến Switch hoặc Wireless Controller.
Ngay lập tức, thiết bị mạng sẽ cập nhật chính sách cho phiên kết nối đang hoạt động.
Ví dụ:
Tất cả diễn ra trong vài giây và hầu như người dùng không nhận ra có sự thay đổi.
Đó chính là sức mạnh của CoA.
Vì sao CoA quan trọng trong Zero Trust?
Trong kiến trúc Zero Trust, quyền truy cập không phải là cố định.
Một thiết bị có thể được cấp nhiều quyền hơn khi đáp ứng đầy đủ yêu cầu bảo mật, nhưng cũng có thể bị hạ quyền hoặc cô lập ngay lập tức nếu không còn tuân thủ chính sách.
Ví dụ:
Cisco ISE có thể gửi một bản tin CoA để thay đổi quyền truy cập của phiên đang hoạt động mà không cần ngắt kết nối. Nhờ đó, hệ thống phản ứng gần như theo thời gian thực trước những thay đổi về trạng thái bảo mật.
Kết luận
Nếu Authentication trả lời câu hỏi "Bạn là ai?" và Authorization quyết định "Bạn được phép truy cập những gì?", thì Change of Authorization (CoA) trả lời câu hỏi "Khi trạng thái của bạn thay đổi, quyền truy cập có cần thay đổi theo không?". Đây là cơ chế giúp Cisco ISE điều chỉnh quyền truy cập động trong suốt vòng đời của phiên kết nối, từ việc áp dụng Downloadable ACL (dACL), thay đổi VLAN, cập nhật Security Group Tag (SGT) cho đến cô lập thiết bị không còn đáp ứng yêu cầu bảo mật. Chính khả năng này giúp CoA trở thành một thành phần quan trọng trong các triển khai Cisco ISE, TrustSec, Software-Defined Access (SDA) và Zero Trust, nơi quyền truy cập luôn được đánh giá và điều chỉnh liên tục thay vì chỉ quyết định một lần tại thời điểm đăng nhập.
Một trong những tính năng mạnh nhất của Cisco ISE nhưng lại ít được nhắc đến là Change of Authorization (CoA).
Thông thường, nhiều người nghĩ rằng sau khi 802.1X xác thực thành công, quyền truy cập sẽ giữ nguyên cho đến khi người dùng ngắt kết nối.
Thực tế không phải vậy.
Trong một mạng hiện đại, quyền truy cập có thể thay đổi bất kỳ lúc nào nếu trạng thái của người dùng hoặc thiết bị thay đổi.
Đó chính là nhiệm vụ của CoA.
Hãy tưởng tượng bạn vào một tòa nhà văn phòng
Bạn quẹt thẻ tại cổng.
Bảo vệ xác nhận danh tính và cho phép bạn đi vào sảnh.
Nhưng điều đó không có nghĩa bạn được phép vào phòng máy chủ hay trung tâm dữ liệu.
Trước tiên, bạn có thể phải:
- Kiểm tra thẻ nhân viên.
- Xác minh lịch hẹn.
- Hoàn thành khóa đào tạo an toàn.
- Đeo đúng thẻ nhận diện.
Sau khi hoàn tất các yêu cầu này, bộ phận an ninh sẽ nâng quyền truy cập mà không yêu cầu bạn ra ngoài rồi quẹt thẻ lại.
CoA hoạt động gần như vậy.
Ban đầu chỉ được cấp quyền tối thiểu
Ngay sau khi xác thực 802.1X thành công, Cisco ISE không nhất thiết cấp toàn bộ quyền truy cập.
Thay vào đó, thiết bị thường chỉ được phép sử dụng những dịch vụ cần thiết như:
- DHCP
- DNS
- Truy cập Cisco ISE
- Máy chủ cập nhật
- Máy chủ Remediation
Mục tiêu là để ISE có thời gian đánh giá thiết bị trước khi trao quyền đầy đủ.
Cisco ISE tiếp tục "quan sát" thiết bị
Trong khi người dùng đã kết nối, Cisco ISE vẫn âm thầm thực hiện nhiều tác vụ như:
- Profiling để nhận diện loại thiết bị.
- Posture Assessment để kiểm tra trạng thái bảo mật.
- BYOD để đăng ký thiết bị cá nhân.
- Web Authentication nếu cần xác thực qua trình duyệt.
Ví dụ, nếu phát hiện máy tính:
- Đã cài phần mềm chống mã độc.
- Bật tường lửa.
- Cập nhật đầy đủ bản vá.
- Tuân thủ chính sách bảo mật.
ISE sẽ quyết định rằng thiết bị đủ điều kiện để nhận quyền truy cập cao hơn.
CoA xuất hiện đúng lúc
Thay vì yêu cầu người dùng rút cáp mạng hoặc đăng nhập lại, Cisco ISE chỉ cần gửi một bản tin:
Change of Authorization (CoA)
đến Switch hoặc Wireless Controller.
Ngay lập tức, thiết bị mạng sẽ cập nhật chính sách cho phiên kết nối đang hoạt động.
Ví dụ:
- Thay dACL mới.
- Chuyển sang VLAN khác.
- Gán Security Group Tag (SGT) mới.
- Mở thêm quyền truy cập vào hệ thống nội bộ.
Tất cả diễn ra trong vài giây và hầu như người dùng không nhận ra có sự thay đổi.
Đó chính là sức mạnh của CoA.
Vì sao CoA quan trọng trong Zero Trust?
Trong kiến trúc Zero Trust, quyền truy cập không phải là cố định.
Một thiết bị có thể được cấp nhiều quyền hơn khi đáp ứng đầy đủ yêu cầu bảo mật, nhưng cũng có thể bị hạ quyền hoặc cô lập ngay lập tức nếu không còn tuân thủ chính sách.
Ví dụ:
- Phần mềm chống mã độc bị tắt.
- Thiếu bản vá bảo mật quan trọng.
- Thiết bị có dấu hiệu bị xâm nhập.
Cisco ISE có thể gửi một bản tin CoA để thay đổi quyền truy cập của phiên đang hoạt động mà không cần ngắt kết nối. Nhờ đó, hệ thống phản ứng gần như theo thời gian thực trước những thay đổi về trạng thái bảo mật.
Kết luận
Nếu Authentication trả lời câu hỏi "Bạn là ai?" và Authorization quyết định "Bạn được phép truy cập những gì?", thì Change of Authorization (CoA) trả lời câu hỏi "Khi trạng thái của bạn thay đổi, quyền truy cập có cần thay đổi theo không?". Đây là cơ chế giúp Cisco ISE điều chỉnh quyền truy cập động trong suốt vòng đời của phiên kết nối, từ việc áp dụng Downloadable ACL (dACL), thay đổi VLAN, cập nhật Security Group Tag (SGT) cho đến cô lập thiết bị không còn đáp ứng yêu cầu bảo mật. Chính khả năng này giúp CoA trở thành một thành phần quan trọng trong các triển khai Cisco ISE, TrustSec, Software-Defined Access (SDA) và Zero Trust, nơi quyền truy cập luôn được đánh giá và điều chỉnh liên tục thay vì chỉ quyết định một lần tại thời điểm đăng nhập.