HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Hữu Đức NGHIÊN CỨU VÀ ĐÁNH GIÁ GIẢI PHÁP QUẢN LÝ TRUY CẬP ĐẶC QUYỀN CYBERARK ĐỀ ÁN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI – 2023 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Hữu Đức NGHIÊN CỨU VÀ ĐÁNH GIÁ GIẢI PHÁP QUẢN LÝ TRUY CẬP ĐẶC QUYỀN CYBERARK CHUYÊN NGÀNH: KỸ THUẬT VIỄN THÔNG MÃ SỐ: 8.52.02.08 ĐỀ ÁN TỐT NGHIỆP THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC PGS TS ĐẶNG HOÀI BẮC HÀ NỘI - 2023 LỜI CAM ĐOAN Tôi xin cam đoan đề án tốt nghiệp “Nghiên cứu đánh giá giải pháp quản lý truy cập đặc qùn CyberArk” cơng trình nghiên cứu khoa học riêng thực hướng dẫn giảng viên hướng dẫn PGS TS Đặng Hoài Bắc Các nội dung nghiên cứu kết đề án trung thực chưa cơng bố cơng trình nghiên cứu trước Những số liệu các bảng biểu phục vụ cho việc phân tích, nhận xét, đánh giá tác giả thu thập từ các nguồn khác có ghi phần tài liệu tham khảo Nếu phát có gian lận tơi xin hồn tồn chịu trách nhiệm trước Hội đồng kết đề án Hà Nội, ngày 11 tháng 08 năm 2023 Học viên Nguyễn Hữu Đức LỜI CẢM ƠN Trong quá trình nghiên cứu hoàn thành đề án tốt nghiệp thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng, bên cạnh nỗ lực thân, học viên nhận giảng dạy hướng dẫn nhiệt tình các thầy cô giáo Học viên xin gửi lời cảm ơn chân thành tới tất thầy cô giáo giảng dạy PGS TS Đặng Hoài Bắc - người tận tình, chu đáo hướng dẫn học viên suốt quá trình học tập, nghiên cứu để học viên hồn thành đề án “Nghiên cứu đánh giá giải pháp quản lý truy cập đặc quyền CyberArk” Do tính phức tạp đề tài nghiên cứu, khả kiến thức học viên cịn nhiều hạn chế nên đề án khơng tránh khỏi sai sót định Học viên mong nhận đóng góp ý kiến các thầy nhà nghiên cứu khác để nội dung nghiên cứu hoàn thiện Học viên xin chân thành cảm ơn! MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii BẢNG DANH MỤC TỪ VIẾT TẮT v DANH MỤC HÌNH VẼ vi DANH MỤC BẢNG BIỂU vii LỜI NÓI ĐẦU .1 CHƯƠNG 1: TỔNG QUAN VỀ GIÁM SÁT VÀ QUẢN LÝ TRUY CẬP HỆ THỐNG DỊCH VỤ 1.1 Hiện trạng quản lý giám sát truy cập hệ thống dịch vụ .2 1.1.1 Tổng quan công đặc quyền 1.1.2 Hiện trạng phương thức truy cập hệ thống dịch vụ 1.2 Các vấn đề tồn .6 1.3 Kiến trúc giải pháp quản lý giám sát truy cập đặc quyền .7 1.3.1 Giới thiệu giải pháp quản quản lý truy cập đặc quyền 1.3.2 Kiến trúc giải pháp quản lý giám sát truy cập đặc quyền 11 1.4 Kết luận chương .15 CHƯƠNG 2: GIẢI PHÁP QUẢN LÝ TRUY CẬP ĐẶC QUYỀN CYBERARK 16 2.1 Hệ thống quản lý truy cập đặc quyền CyberArk 16 2.2 Các thành phần tính giải pháp 17 2.2.1 Thành phần giải pháp 17 2.2.2 Nguyên lý hoạt động giải pháp .23 2.2.3 Các chế bảo mật áp dụng giải pháp 26 2.2.4 Mơ hình luồng liệu 27 2.2.5 Các tính giải pháp 29 2.3 Kết luận chương .33 CHƯƠNG 3: XÂY DỰNG VÀ ĐÁNH GIÁ GIẢI PHÁP QUẢN LÝ TRUY CẬP ĐẶC QUYỀN CYBERARK 34 3.1 Mơ hình triển khai thử nghiệm .34 3.1.1 Kịch triển khai 34 3.1.2 Vận hành thử nghiệm hệ thống 34 3.2 Đánh giá kết thu 47 3.3 Kết luận chương .54 KẾT LUẬN 55 HƯỚNG PHÁT TRIỂN CỦA ĐỀ ÁN .56 TÀI LIỆU THAM KHẢO 57 BẢNG DANH MỤC TỪ VIẾT TẮT Thuật ngữ viết tắt AD C&C CNTT Tiếng Anh Tiếng Việt Active Directory Command and Control CPM Central Policy Manager DBA Database Administrator DC EPV Data Center Enterprise Password Vault Federal Health Insurance Portability and Accountability Act HIPAA IaaS Infrastructure as a Service LDAP Lightweight Directory Access Protocol PaaS PCI PSM Platform as a Service Privileged Access Management/ Privileged Identity Management Payment Card Industry Privileged Session Manager PTA Privileged Threat Analytics PWVA Password Vault Web Access RBAC Role Based Access Control RDP Remote Desktop Protocol SaaS Software as a Service SIEM Security Information Management SOC Security Operation Center SSH Secure Socket Shell TCP Transmission Control Protocol VDI VM Virtual Desktop Infrastructure Vitural Machine PAM/PIM and Event Dịch vụ thư mục Ra lệnh điều khiển Công nghệ thơng tin Trung tâm quản lý sách Quản trị viên sở liệu Trung tâm liệu Máy chủ Vault Quy tắc bảo mật thông tin sức khỏe Cơ sở hạ tầng dịch vụ Giao thức truy cập sở liệu phân tán Nền tảng dịch vụ Hệ thống quản lý truy cập đặc quyền Ngành thẻ toán Quản lý phiên đặc quyền Phân tích mối nguy hại đặc quyền Cổng truy cập Web Điều khiển truy cập sở vai trị Giao thức máy tính từ xa Phần mềm dạng dịch vụ Thông tin bảo mật quản lý kiện Trung tâm điều hành an ninh Giao thức kết nối bảo mật Giao thức điều khiển truyền vận Ảo hóa hạ tầng máy tính Máy ảo VPN Virtual Private Network Mạng riêng ảo DANH MỤC HÌN Hình 1: Các giai đoạn công từ bên ngồi .2 Hình 2: Kết nối trực tiếp Hình 3: Kết nối thông qua VPN .5 Hình 1.4: Vi phạm liệu thông tin xác thực đặc quyền bị xâm phạm YHình 1: Thị trường giải pháp PAM theo báo cáo Gartner 2022……………………… 17 Hình 2: Thành phần giải pháp PAM CyberArk .18 Hình 3: Module quản lý sách .19 Hình 4: Module quản lý phiên đặc quyền 20 Hình 5: Module quản lý khóa SSH 22 Hình 6: Quy trình định nghĩa sách về mật 23 Hình 7: Quy trình quản lý đặt lại mật .24 Hình 8: Quy trình yêu cầu cấp mật từ nhân viên IT 24 Hình 9: Tính báo cáo hệ thống 25 Hình 10: Các chế bảo mật áp dụng giải pháp 26 Hình 11: Luồng truy cập liệu tới các hệ thống 27 Hình 12: Luồng tương tác CPM các hệ thống đích 28 Hình 13: Tính khám quản lý thông tin đăng nhập 30 Hình 14: Cơ lập thơng tin đăng nhập phiên .31 Hình 15: Ghi lại kiểm toán phiên 31 Hình 16: Giám sát phiên truy cập đặc quyền 32 Hình 17: Khắc phục rủi ro các hành vi 33 YHình 1: Tạo người dùng CyberArk …………………………………………………… 35 Hình 2: Cấu hình thuộc tính người dùng 36 Hình 3: Giao diện PVWA 37 Hình 4: Giao diện quản lý Safe 37 Hình 5: Thuộc tính Safe 38 Hình 6: Thêm thành viên vào Safe 38 Hình 7: Đặt quyền cho thành viên Safe 39 Hình 8: Chọn loại hệ thống 41 Hình 9: Chọn nền tảng kết nối .41 Hình 10: Lựa chọn lưu Safe 42 Hình 11: Thông tin tài khoản đặc quyền 42 Hình 12: Giao diện truy cập PVWA 43 Hình 13: Giao diện truy cập tài khoản đặc quyền 44 Hình 14: Tạo yêu cầu sử dụng phiên 44 Hình 15: Cấp phép truy cập phiên 45 Hình 16: Giao diện SSH thơng qua CyberArk .45 Hình 17: Giao diện RDP thông qua CyberArk 46 Hình 18: Chính sách khai báo PTA ngăn chặn các mối nguy hại 47 Hình 19: Cảnh báo PTA người sử dụng gõ lệnh “su root” 47 Hình 20: Thơng tin phiên truy cập người dùng yêu cầu 48 Hình 21: Bản tin trao đổi người dùng truy cập hệ thống thông qua PSM .48 Hình 22: Bản tin Wireshark cho biết thơng tin bị mã hóa 49 Hình 23: Giao diện giám sát các thao tác gõ lệnh phiên .49 Hình 24: Giao diện giám sát thao tác người sử dụng phiên 50 Hình 25: Các ghi giám sát phiên lưu trữ Vault 51 Hình 26: Bản ghi nhật ký phiên ổ đĩa thư mục Vault mã hóa để đảm bảo an toàn .51 DANH MỤC BẢNG BIỂU Bảng 1: So sánh kết nối thông qua CyberArk kết nối truyền thống 52