HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Hữu Đức NGHIÊN CỨU VÀ ĐÁNH GIÁ GIẢI PHÁP QUẢN LÝ TRUY CẬP ĐẶC QUYỀN CYBERARK ĐỀ ÁN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI – 2023 i LỜI CAM ĐOAN Tôi xin cam đoan đề án tốt nghiệp “Nghiên cứu đánh giá giải pháp quản lý truy cập đặc quyền CyberArk” cơng trình nghiên cứu khoa học riêng thực hướng dẫn giảng viên hướng dẫn PGS TS Đặng Hoài Bắc Các nội dung nghiên cứu kết đề án trung thực chưa cơng bố cơng trình nghiên cứu trước Những số liệu bảng biểu phục vụ cho việc phân tích, nhận xét, đánh giá tác giả thu thập từ nguồn khác có ghi phần tài liệu tham khảo Nếu phát có gian lận tơi xin hồn tồn chịu trách nhiệm trước Hội đồng kết đề án Hà Nội, ngày 11 tháng 08 năm 2023 Học viên Nguyễn Hữu Đức ii LỜI CẢM ƠN Trong trình nghiên cứu hoàn thành đề án tốt nghiệp thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng, bên cạnh nỗ lực thân, học viên nhận giảng dạy hướng dẫn nhiệt tình thầy cô giáo Học viên xin gửi lời cảm ơn chân thành tới tất thầy cô giáo giảng dạy PGS TS Đặng Hoài Bắc - người tận tình, chu đáo hướng dẫn học viên suốt trình học tập, nghiên cứu để học viên hồn thành đề án “Nghiên cứu đánh giá giải pháp quản lý truy cập đặc quyền CyberArk” Do tính phức tạp đề tài nghiên cứu, khả kiến thức học viên cịn nhiều hạn chế nên đề án khơng tránh khỏi sai sót định Học viên mong nhận đóng góp ý kiến thầy cô nhà nghiên cứu khác để nội dung nghiên cứu hoàn thiện Học viên xin chân thành cảm ơn! iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii BẢNG DANH MỤC TỪ VIẾT TẮT v DANH MỤC HÌNH VẼ vi DANH MỤC BẢNG BIỂU vii LỜI NÓI ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ GIÁM SÁT VÀ QUẢN LÝ TRUY CẬP HỆ THỐNG DỊCH VỤ 1.1 Hiện trạng quản lý giám sát truy cập hệ thống dịch vụ 1.1.1 Tổng quan công đặc quyền 1.1.2 Hiện trạng phương thức truy cập hệ thống dịch vụ 1.2 Các vấn đề tồn 1.3 Kiến trúc giải pháp quản lý giám sát truy cập đặc quyền 1.3.1 Giới thiệu giải pháp quản quản lý truy cập đặc quyền 1.3.2 Kiến trúc giải pháp quản lý giám sát truy cập đặc quyền 11 1.4 Kết luận chương 15 CHƯƠNG 2: GIẢI PHÁP QUẢN LÝ TRUY CẬP ĐẶC QUYỀN CYBERARK 16 2.1 Hệ thống quản lý truy cập đặc quyền CyberArk 16 2.2 Các thành phần tính giải pháp 17 2.2.1 Thành phần giải pháp 17 2.2.2 Nguyên lý hoạt động giải pháp 23 2.2.3 Các chế bảo mật áp dụng giải pháp 26 2.2.4 Mơ hình luồng liệu 27 2.2.5 Các tính giải pháp 29 2.3 Kết luận chương 33 CHƯƠNG 3: XÂY DỰNG VÀ ĐÁNH GIÁ GIẢI PHÁP QUẢN LÝ TRUY CẬP ĐẶC QUYỀN CYBERARK 34 3.1 Mơ hình triển khai thử nghiệm 34 3.1.1 Kịch triển khai .34 3.1.2 Vận hành thử nghiệm hệ thống 34 3.2 Đánh giá kết thu 47 iv 3.3 Kết luận chương 54 KẾT LUẬN 55 HƯỚNG PHÁT TRIỂN CỦA ĐỀ ÁN 56 TÀI LIỆU THAM KHẢO 57 v Thuật ngữ viết tắt AD C&C CNTT BẢNG DANH MỤC TỪ VIẾT TẮT Tiếng Anh Tiếng Việt Active Directory Command and Control CPM Central Policy Manager DBA DC EPV Database Administrator Data Center Enterprise Password Vault Federal Health Insurance Portability and Accountability Act HIPAA IaaS Infrastructure as a Service LDAP Lightweight Directory Access Protocol PaaS PCI PSM Platform as a Service Privileged Access Management/ Privileged Identity Management Payment Card Industry Privileged Session Manager PTA Privileged Threat Analytics PWVA Password Vault Web Access RBAC Role Based Access Control RDP Remote Desktop Protocol SaaS Software as a Service SIEM Security Information Management SOC Security Operation Center SSH Secure Socket Shell TCP Transmission Control Protocol VDI VM VPN Virtual Desktop Infrastructure Vitural Machine Virtual Private Network PAM/PIM and Event Dịch vụ thư mục Ra lệnh điều khiển Công nghệ thông tin Trung tâm quản lý sách Quản trị viên sở liệu Trung tâm liệu Máy chủ Vault Quy tắc bảo mật thông tin sức khỏe Cơ sở hạ tầng dịch vụ Giao thức truy cập sở liệu phân tán Nền tảng dịch vụ Hệ thống quản lý truy cập đặc quyền Ngành thẻ tốn Quản lý phiên đặc quyền Phân tích mối nguy hại đặc quyền Cổng truy cập Web Điều khiển truy cập sở vai trị Giao thức máy tính từ xa Phần mềm dạng dịch vụ Thông tin bảo mật quản lý kiện Trung tâm điều hành an ninh Giao thức kết nối bảo mật Giao thức điều khiển truyền vận Ảo hóa hạ tầng máy tính Máy ảo Mạng riêng ảo vi DANH MỤC HÌNH VẼ Hình 1: Các giai đoạn cơng từ bên ngồi Hình 2: Kết nối trực tiếp Hình 3: Kết nối thơng qua VPN Hình 1.4: Vi phạm liệu thơng tin xác thực đặc quyền bị xâm phạm Hình 1: Thị trường giải pháp PAM theo báo cáo Gartner 2022……………………… 17 Hình 2: Thành phần giải pháp PAM CyberArk 18 Hình 3: Module quản lý sách 19 Hình 4: Module quản lý phiên đặc quyền 20 Hình 5: Module quản lý khóa SSH 22 Hình 6: Quy trình định nghĩa sách mật 23 Hình 7: Quy trình quản lý đặt lại mật 24 Hình 8: Quy trình yêu cầu cấp mật từ nhân viên IT 24 Hình 9: Tính báo cáo hệ thống 25 Hình 10: Các chế bảo mật áp dụng giải pháp 26 Hình 11: Luồng truy cập liệu tới hệ thống 27 Hình 12: Luồng tương tác CPM hệ thống đích 28 Hình 13: Tính khám quản lý thông tin đăng nhập 30 Hình 14: Cơ lập thơng tin đăng nhập phiên 31 Hình 15: Ghi lại kiểm tốn phiên 31 Hình 16: Giám sát phiên truy cập đặc quyền 32 Hình 17: Khắc phục rủi ro hành vi 33 Hình 1: Tạo người dùng CyberArk …………………………………………………… 35 Hình 2: Cấu hình thuộc tính người dùng 36 Hình 3: Giao diện PVWA 37 Hình 4: Giao diện quản lý Safe 37 Hình 5: Thuộc tính Safe 38 Hình 6: Thêm thành viên vào Safe 38 Hình 7: Đặt quyền cho thành viên Safe 39 Hình 8: Chọn loại hệ thống 41 Hình 9: Chọn tảng kết nối 41 Hình 10: Lựa chọn lưu Safe 42 vii Hình 11: Thơng tin tài khoản đặc quyền 42 Hình 12: Giao diện truy cập PVWA 43 Hình 13: Giao diện truy cập tài khoản đặc quyền 44 Hình 14: Tạo yêu cầu sử dụng phiên 44 Hình 15: Cấp phép truy cập phiên 45 Hình 16: Giao diện SSH thông qua CyberArk 45 Hình 17: Giao diện RDP thơng qua CyberArk 46 Hình 18: Chính sách khai báo PTA ngăn chặn mối nguy hại 47 Hình 19: Cảnh báo PTA người sử dụng gõ lệnh “su root” 47 Hình 20: Thơng tin phiên truy cập người dùng yêu cầu 48 Hình 21: Bản tin trao đổi người dùng truy cập hệ thống thông qua PSM 48 Hình 22: Bản tin Wireshark cho biết thơng tin bị mã hóa 49 Hình 23: Giao diện giám sát thao tác gõ lệnh phiên 49 Hình 24: Giao diện giám sát thao tác người sử dụng phiên 50 Hình 25: Các ghi giám sát phiên lưu trữ Vault 51 Hình 26: Bản ghi nhật ký phiên ổ đĩa thư mục Vault mã hóa để đảm bảo an toàn 51 DANH MỤC BẢNG BIỂU Bảng 1: So sánh kết nối thông qua CyberArk kết nối truyền thống 52 LỜI NÓI ĐẦU Ngày nay, tổ chức, doanh nghiệp dành nhiều thời gian tiền bạc cho cơng tác đảm bảo an tồn bảo mật cho hệ thống công nghệ thông tin đơn vị Có nhiều hình thức cơng ngày tinh vi gây nhiều khó khăn cho tổ chức để phát ngăn chặn mối nguy hại từ bên bên Với tổ chức, doanh nghiệp lớn, có hàng ngàn người người quản lý từ vài đến hàng trăm hệ thống Mỗi hệ thống kiểm soát tài khoản đặc quyền Có thể nói tài khoản đặc quyền chìa khóa cho hoạt động tổ chức, việc quản lý giám sát tài khoản quan trọng Bên cạnh đó, tài khoản đặc quyền người dùng nắm giữ mục tiêu cơng vi phạm liệu Việc bảo vệ chống vi phạm liệu, quyền riêng tư người dùng chiến dai dẳng không dễ dàng chuyển sang kinh tế số, phủ số Những rủi ro tiềm ẩn, nguy trộm cắp liệu rình rập mơi trường mạng Các vấn đề an ninh liên quan đến lộ lọt liệu trở thành đấu tranh hàng ngày doanh nghiệp, thách thức thường trực cho chuyên gia an tồn thơng tin mạng Vì vậy, nhận thấy tính thiết thực đề án, học viên xin chọn hướng nghiên cứu “Nghiên cứu đánh giá giải pháp quản lý truy cập đặc quyền CyberArk” làm đề án tốt nghiệp thạc sỹ Đề án chia làm chương sau: Chương 1: Tổng quan giám sát quản lý truy cập hệ thống dịch vụ Chương 2: Giải pháp quản lý truy cập đặc quyền CyberArk Chương 3: Xây dựng đánh giá hệ thống quản lý truy cập đặc quyền CyberArk 51 Hình 25: Các ghi giám sát phiên lưu trữ Vault Hình 26: Bản ghi nhật ký phiên ổ đĩa thư mục Vault mã hóa để đảm bảo an toàn Khi phiên kết nối tới hệ thống tài khoản đặc quyền thông qua CyberArk, CyberArk cho phép tổ chức bảo mật, điều khiển giám sát phiên truy 52 cập đặc quyền người quản trị vào hệ thống thiết bị Các thông tin phiên truy cập nén lưu trữ an toàn Vault Truy cập qua CyberArk PAM Hình thức kết nối Quản lý thay đổi thông tin đăng nhập tài khoản đặc quyền Mở phiên kết nối thông qua PSM Quản lý lưu trữ tập trung, cho phép thay đổi, cập nhật mật định kỳ thường xuyên Truy cập truyền thống Kết nối trực tiếp tới hệ thống thông qua giao thức SSH, RDP, Quản lý lưu trữ phân tán Các mật khơng cập nhật thay đổi định kỳ theo sách quy định Các phiên truy cập Ghi log ghi lại log lưu trữ bảo Mặc định ghi lại tính mật Vault (SSH, SQL, OS, ứng dụng Oracle, …) Cho phép lưu lại video trình thao tác phiên Các phiên truy cập ghi lại video lưu trữ Phải thực thông qua bảo mật Vault (SSH, phần mềm bên thứ SQL, Oracle, …) Cho phép người quản trị phát ngăn chặn Phát hiện, ngăn chặn hành vi thao tác nguy hại Hỗ trợ thông qua phần mối nguy hại thiết bị theo mềm Antivirus mong muốn khuyến nghị Bảng 1: So sánh kết nối thông qua CyberArk kết nối truyền thống 53 Qua mơ hình triển khai kết thu ta nhận thấy lợi ích từ việc truy cập tài khoản đặc quyền thông qua hệ thống quản lý tài khoản đặc quyền CyberArk sau: - Tài khoản đặc quyền hệ thống dịch vụ bảo mật tốt hơn: mật tự động thay đổi theo sách quy định -> trở thành mật động - Các người sử dụng, vận hành hệ thống phân quyền cho nhóm thiết bị quản lý, hoạt động truy cập tác động kiểm sốt - Có thể giám sát (online offline) hoạt động đối tác người sử dụng phiên làm việc với thiết bị quan trọng, hoạt động bị ghi lại dạng file video lưu lại cách bảo mật hệ thống Việc giám sát cấp quyền cho account auditor Administrator hệ thống CyberArk - Thu thập thông tin hành vi phiên đặc quyền cảnh báo cho quản trị viên mối nguy hại Bên cạnh người quản trị chủ động định nghĩa hành động gây nguy hại máy chủ cách tạo luật hành động tương ứng PTA để phát hiện, giám sát ngăn chặn kịp thời Mặc dù giải pháp giám sát truy cập đặc quyền CyberArk có nhiều ưu điểm, nhiên giải pháp có nhiều nhược điểm khó khăn cho tổ chức, doanh nghiệp việc tiếp cận như: • Triển khai triển khai: Việc triển khai triển khai giải pháp PAM tồn diện CyberArk phức tạp tốn thời gian, địi hỏi chun mơn nguồn lực chun biệt • Chi phí: Các giải pháp CyberArk tốn kém, gây khó khăn cho tổ chức nhỏ tổ chức có ngân sách hạn chế để triển khai • Tích hợp: Tích hợp CyberArk với hệ thống ứng dụng có thách thức địi hỏi kiến thức chuyên môn tổ chức, doanh nghiệp • Sự chấp nhận người dùng: Việc thuyết phục người dùng chấp nhận giải pháp PAM CyberArk khó khăn, đặc biệt giải 54 pháp yêu cầu thay đổi đáng kể quy trình cơng việc có đặc quyền truy cập họ 3.3 Kết luận chương Trong chương cuối đề án, học viên nghiên cứu xây dựng mơ hình triển khai thử nghiệm hệ thống PAM CyberArk, thực vận hành thử nghiệm hệ thống kiểm tra đánh giá kết đạt qua việc kết nối đến hệ thống đích thơng qua CyberArk Từ đưa lợi ích hạn chế giải pháp triển khai tổ chức, doanh nghiệp 55 KẾT LUẬN Qua chương đề án, học viên trình bày khái quát trạng giám sát quản lý truy cập hệ thống dịch vụ tổ chức, doanh nghiệp Học viên nghiên cứu giải pháp quản lý truy cập đặc quyền CyberArk bao gồm: Thành phần, nguyên lý hoạt động giải pháp, mơ hình luồng liệu tính giải pháp Mục tiêu đề án nhằm nghiên cứu xây dựng giải pháp quản lý giám sát tập trung truy cập hệ thống dịch vụ, đảm bảo an toàn máy chủ sở liệu hệ thống dịch vụ Nghiên cứu đánh giá giải pháp quản lý truy cập đặc quyền CyberArk cung cấp cách hiệu an toàn để quản lý truy cập đặc quyền môi trường hệ thống Giải pháp giúp giảm thiểu rủi ro bảo mật cách kiểm soát giám sát tài khoản đặc quyền, đồng thời giúp tăng tính linh hoạt hiệu suất quy trình quản lý truy cập Giải pháp cung cấp khả quản lý truy cập đặc quyền tồn diện phù hợp với nhiều mơi trường hệ thống, bao gồm hệ thống máy chủ, sở liệu, ứng dụng thiết bị mạng Nó giúp đảm bảo người dùng ủy quyền truy cập vào tài nguyên quan trọng đảm bảo tính tồn vẹn bảo mật hệ thống Tuy nhiên, việc triển khai quản lý giải pháp CyberArk cần đầu tư thời gian nguồn lực Địi hỏi kiến thức chun mơn kỹ kỹ thuật cao để hiểu cấu hình cách Hơn nữa, giải pháp cần hợp tác chấp nhận từ bên liên quan để đảm bảo tính quán hiệu việc quản lý truy cập đặc quyền Tổng quan, giải pháp quản lý truy cập đặc quyền CyberArk cơng cụ hữu ích để giảm thiểu rủi ro bảo mật quản lý truy cập đặc quyền môi trường hệ thống Tuy nhiên, việc triển khai quản lý địi hỏi đầu tư ý chi tiết để đảm bảo tính tồn vẹn hiệu hệ thống 56 HƯỚNG PHÁT TRIỂN CỦA ĐỀ ÁN Học viên tiếp tục nghiên cứu, tìm hiểu cơng nghệ bảo mật, quản lý giám sát truy cập có giới, nhằm bổ sung kiến thức góp phần đề xuất tới doanh nghiệp tổ chức triển khai giải pháp đáp ứng nhu cầu đơn vị; Bên cạnh đó, học viên dự kiến mở rộng nghiên cứu nội dung phịng chống cơng truy cập trái phép hệ thống dịch vụ 57 TÀI LIỆU THAM KHẢO [1] CyberArk Privileged Access Manager - Self-Hosted https://docs.cyberark.com/ProductDoc/OnlineHelp/PAS/Latest/en/Content/Resources/_TopNav/cc_Home.htm [2] Haber, M.J (2020) Privileged Attack Vectors In: Privileged Attack Vectors Apress, Berkeley, CA [3] Haber, M.J (2020) PAM Architecture In: Privileged Attack Vectors Apress, Berkeley, CA [4] Haber, M.J (2020) Privileged Access Management In: Privileged Attack Vectors Apress, Berkeley, CA [5] Haber, M.J (2020) Privileged Account Management Implementation In: Privileged Attack Vectors Apress, Berkeley, CA [6] Jason Garbis and Jerry W Chapman (2021) “Zero Trust Security, An Enterprise Guide” [7] Kin Suntana Tep, Ben Martini, Ray Hunt, Kim-Kwang Raymond Choo (2015) “A Taxonomy of Cloud Attack Consequences and Mitigation Strategies: The Role of Access Control and Privileged Access Management”, IEEE Access [8] Privileged access management Solutions, Reviews and Ratings https://www.gartner.com/reviews/market/privileged-access-management [9] William Tirtadjaja, Muhammad Ehsan Rana (2021) Kamalanathan Shanmugam, “Managing High Privileged Accounts in IT Enterprise: Enhanced Security Infrastructure”, IEEE Access