Home page / Technology updates

Quản lý danh tính đặc quyền với Privileged Identity Management (PIM)

Technology updates
Posted on by Thai Ho

  1. Giới thiệu:

    Privileged Identity Management (PIM) là quá trình quản lý và bảo mật quyền truy cập của người dùng có quyền nâng cao đối với các tài nguyên và dữ liệu nhạy cảm. Các doanh nghiệp hiện nay phải đối mặt với nhiều thách thức chẳng hạn như đảm bảo tuân thủ các quy định, kiểm toán và giám sát các hoạt động đặc quyền, ngăn chặn các mối đe dọa nội bộ và vi phạm dữ liệu, đồng thời giảm chi phí hoạt động và độ phức tạp. Microsoft Entra Privileged Identity Management là một giải pháp giúp các tổ chức vượt qua những thách thức này bằng cách cung cấp một nền tảng thống nhất để quản lý, giám sát và kiểm soát quyền truy cập đặc quyền trên các môi trường hybrid và đa đám mây. Entra PIM cho phép các tổ chức thực hiện nguyên tắc đặc quyền tối thiểu, thực thi các chính sách truy cập chi tiết và có giới hạn thời gian, tự động hóa quy trình làm việc và phê duyệt, đồng thời tạo báo cáo và cảnh báo toàn diện. 

  2. Các tính năng của Entra ID PIM


    Hình 1. Khả năng của Microsoft Entra Privileged Identity Management 

    PIM cung cấp khả năng kích hoạt time-based và approval-based role nhằm giảm thiểu rủi ro về quyền truy cập quá mức, không cần thiết hoặc sử dụng sai trên các tài nguyên mà bạn quan tâm. Dưới đây là một số tính năng chính của PIM: 

    • Just-in-Time Privileged Access: PIM cho phép bạn cấp quyền truy cập tạm thời vào các tài nguyên Microsoft 365 và Azure. Người dùng chỉ có thể kích hoạt các vai trò đặc quyền khi cần, giảm nguy cơ truy cập kéo dài. 
    • Time-Bound Access: Bạn có thể chỉ định quyền truy cập dựa trên thời gian vào tài nguyên bằng cách chỉ định ngày bắt đầu và ngày kết thúc. Điều này đảm bảo rằng các đặc quyền chỉ hoạt động trong những khoảng thời gian cần thiết. 
    • Quy trình phê duyệt: PIM yêu cầu phê duyệt trước khi kích hoạt vai trò đặc quyền. Điều này bổ sung thêm một lớp bảo mật và giám sát. 
    • Multifactor Authentication (MFA): Người dùng phải xác thực bằng MFA để kích hoạt bất kỳ vai trò nào. Điều này tăng cường bảo mật bằng cách xác minh danh tính của họ. 
    • Justification: Khi người dùng kích hoạt một vai trò, họ cần cung cấp một lý do (justification). Điều này giúp quản trị viên hiểu mục đích đằng sau quyền truy cập. 
    • Notifications: PIM gửi thông báo khi vai trò đặc quyền được kích hoạt. Điều này giúp quản trị viên được thông báo về các thay đổi quyền truy cập. 
    • Access Reviews: Đánh giá truy cập thường xuyên đảm bảo rằng người dùng vẫn cần sử dụng vai trò được chỉ định của họ. Nếu không, quyền truy cập có thể bị thu hồi. 
    • Audit History: Bạn có thể tải xuống audit log cho việc kiểm toán nội bộ hoặc bên ngoài. Các log này theo dõi việc kích hoạt và thay đổi các vai trò. 
    • Ngăn chặn việc loại bỏ các vai trò quan trọng: PIM ngăn chặn việc vô tình loại bỏ các vai trò Global Administrator và Privileged Role Administrator đang hoạt động gần đây nhất. 

  3. Tại sao cần sử dụng PIM? 

    Microsoft Entra PIM có thể giúp các tổ chức giải quyết một số thách thức và rủi ro phổ biến liên quan đến quản lý quyền truy cập như: 

    • Mối đe dọa nội bộ: PIM có thể giúp các tổ chức ngăn chặn các mối đe dọa nội bộ bằng cách giảm số lượng người dùng có quyền truy cập vĩnh viễn vào các tài nguyên nhạy cảm, thực thi nguyên tắc đặc quyền tối thiểu và yêu cầu phê duyệt hoặc đưa ra lý do cho các yêu cầu truy cập. 
    • Tấn công từ bên ngoài: PIM có thể giúp các tổ chức bảo vệ chống lại các cuộc tấn công bên ngoài bằng cách giới hạn về thời gian và phạm vi truy cập vào các vai trò hoặc tài nguyên, yêu cầu xác thực đa yếu tố và phát hiện, cảnh báo về bất kỳ lượt truy cập bất thường nào. 
    • Các yêu cầu về tuân thủ: PIM có thể giúp các tổ chức tuân thủ các tiêu chuẩn và quy định khác nhau, chẳng hạn như GDPR, HIPAA, PCI-DSS và NIST, bằng cách cung cấp các biên bản kiểm toán, đánh giá truy cập và báo cáo về quyền truy cập. 

  4. Quy trình phân công vai trò với PIM 

    Việc gán vai trò với PIM cung cấp cho bạn một cách an toàn để cấp quyền truy cập vào các tài nguyên trong tổ chức. Nó bao gồm việc chỉ định vai trò cho các người dùng, kích hoạt phân quyền, phê duyệt hoặc từ chối yêu cầu, mở rộng và gia hạn phân quyền. 

    1. Gán vai trò

      Để gán quyền truy cập vào tài nguyên tổ chức, quản trị viên cần gán vai trò phù hợp cho người dùng, nhóm người dùng, service principals hoặc các danh tính được quản lý bởi tổ chức. Việc gán vai trò bao gồm các dữ liệu: 

      • Người dùng hoặc nhóm người dùng cần gán vai trò 
      • Phạm vi của vai trò 
      • Loại vai trò được gán: 
      • Eligible: yêu cầu người dùng phải thực hiện hành động để được gán vai trò đó, hành động có thể là kích hoạt hoặc yêu cầu phê duyệt từ những người phê duyệt được chỉ định. 
      • Active: người dùng không cần phải thực hiện bất kỳ hành động nào để được gán vai trò. 
      • Thời gian hiệu lực, khoảng thời gian mà người dùng được gán vai trò còn hiệu lực. Có thể là một khoảng thời gian hoặc vĩnh viễn.

      Hình 2. Quản trị viên gán vai trò cho người dùng  

    2. Kích hoạt vai trò

      Nếu người dùng được gán vai trò với dạng eligible, họ phải kích hoạt vai trò trước khi sử dụng được các quyền đã gán cho vai trò đó. Để kích hoạt vai trò, người dùng chọn thời gian kích hoạt cụ thể trong phạm vi tối đa (do quản trị viên định cấu hình) và lý do yêu cầu kích hoạt.

      Hình 3. Người dùng kích hoạt vai trò được gán bởi PIM

      Nếu vai trò yêu cầu phê duyệt để kích hoạt, một thông báo sẽ xuất hiện ở góc trên bên phải trình duyệt của người dùng thông báo cho họ rằng yêu cầu đang chờ phê duyệt. Nếu không cần phê duyệt, người dùng có thể bắt đầu sử dụng vai trò.

      Hình 4. Quản trị viên phê duyệt yêu cầu kích hoạt từ người dùng 

    3. Phê duyệt hoặc từ chối yêu cầu của người dùng

      Người phê duyệt được ủy quyền sẽ nhận được thông báo qua email khi yêu cầu kích hoạt vai trò đang chờ phê duyệt. Người phê duyệt có thể xem, phê duyệt hoặc từ chối các yêu cầu đang chờ xử lý trong PIM. Sau khi yêu cầu đã được phê duyệt, người dùng có thể bắt đầu sử dụng vai trò đó.

      Hình 5. Email của người phê duyệt về yêu cầu kích hoạt của người dùng 

  5. Đối tượng phù hợp sử dụng

    Với Entra PIM, các tổ chức có thể giảm nguy cơ truy cập trái phép, cải thiện trách nhiệm giải trình và hợp lý hóa quy trình yêu cầu và cấp quyền. Các tổ chức xử lý dữ liệu nhạy cảm, sở hữu trí tuệ hoặc cơ sở hạ tầng quan trọng có thể tận dụng PIM để tăng cường bảo mật. Các tổ chức về tài chính, y tế và chính phủ có các yêu cầu nghiêm ngặt về tuân thủ cũng có thể tận dụng PIM để hỗ trợ đáp ứng các tiêu chuẩn, quy định. 

    Entra PIM được bao gồm trong giấy phép Microsoft Entra ID P2, Microsoft Entra ID Governance Enterprise Mobility + Security E5, bên cạnh các tính năng bảo mật toàn diện khác. 

  6. Tổng kết

    Microsoft Entra PIM là một giải pháp toàn diện để quản lý và bảo mật quyền truy cập đặc quyền trên các tài nguyên và môi trường khác nhau. Nó giúp các tổ chức đạt được mức độ bảo mật, năng suất, khả năng hiển thị và tuân thủ cao hơn, đồng thời giảm nguy cơ sử dụng trái phép hoặc lạm dụng các tài khoản có đặc quyền. 

    Xem thêm tại: https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/pim-configure

Post Views: 395