(Tóm tắt luận văn thạc sĩ) nghiên cứu và đánh giá giải pháp quản lý truy cập đặc quyền cyberark

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Hữu Đức NGHIÊN CỨU VÀ ĐÁNH GIÁ GIẢI PHÁP QUẢN LÝ TRUY CẬP ĐẶC QUYỀN CYBERARK Chuyên ngành: Kỹ thuật Viễn thơng Mã sớ: 8.52.02.08 TÓM TẮT ĐỀ ÁN TỚT NGHIỆP THẠC SĨ HÀ NỘI – NĂM 2023 Đề án tốt nghiệp hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: PGS TS Đặng Hoài Bắc Phản biện 1: Phản biện 2: Đề án tốt nghiệp bảo vệ trước Hội đồng chấm đề án tốt nghiệp thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm 1 MỞ ĐẦU Ngày nay, tổ chức, doanh nghiệp dành nhiều thời gian tiền bạc cho công tác đảm bảo an tồn bảo mật cho hệ thống cơng nghệ thơng tin đơn vị Có nhiều hình thức công ngày tinh vi gây nhiều khó khăn cho tổ chức để phát ngăn chặn mối nguy hại từ bên bên Với tổ chức, doanh nghiệp lớn, có hàng ngàn người người quản lý từ vài đến hàng trăm hệ thống Mỗi hệ thống kiểm soát tài khoản đặc quyền Có thể nói tài khoản đặc quyền chìa khóa cho hoạt động tổ chức, việc quản lý giám sát tài khoản quan trọng Bên cạnh đó, tài khoản đặc quyền người dung nắm giữ mục tiêu công vi phạm liệu Việc bảo vệ chống vi phạm liệu, quyền riêng tư người dùng chiến dai dẳng không dễ dàng chuyển sang kinh tế số, phủ số Những rủi ro tiềm ẩn, nguy trộm cắp liệu ln rình rập mơi trường mạng Các vấn đề an ninh liên quan đến lộ lọt liệu trở thành đấu tranh hàng ngày doanh nghiệp, thách thức thường trực cho chun gia an tồn thơng tin mạng Vì vậy, nhận thấy tính thiết thực đề án, học viên xin chọn hướng nghiên cứu “Nghiên cứu và đánh giá giải pháp quản lý truy cập đặc quyền CyberArk” làm đề án tốt nghiệp thạc sỹ Đề án chia làm chương sau: Chương 1: Tổng quan giám sát quản lý truy cập hệ thống dịch vụ Chương 2: Giải pháp quản lý truy cập đặc quyền CyberArk Chương 3: Xây dựng đánh giá hệ thống quản lý truy cập đặc quyền CyberArk CHƯƠNG 1: TỔNG QUAN VỀ GIÁM SÁT VÀ TRUY CẬP HỆ THỐNG DỊCH VỤ 1.1 Hiện trạng quản lý và giám sát truy cập hệ thống dịch vụ 1.1.1 Tổng quan công đặc quyền Hình 1: Các giai đoạn công từ bên ngoài Hiện nay, phần lớn cơng bắt nguồn từ bên ngồi tổ chức khởi xướng tác nhân đe dọa bên Trong chiến thuật cụ thể khác nhau, giai đoạn cơng bên ngồi diễn tả theo bước sau: - Xâm nhập từ bên bên ngoài: nay, kẻ công thường thực chiến dịch thơng qua cơng cấu hình sai tài nguyên với tài khoản đặc quyền bị xâm phạm, khởi động công lừa đảo để xâm phạm quyền người dùng hệ thống, thiết lập vị trí ẩn bên mơi trường - Điều khiển và kiểm sốt thơng qua Internet: ransomware phần mềm độc hại độc lập, kẻ cơng nhanh chóng thiết lập kết nối đến máy chủ huy kiểm soát (C&C) Điều cho phép hacker đánh giá môi trường lập kế hoạch thực - Xác định và nâng cao tài khoản đặc quyền: Các tác nhân đe dọa bắt đầu tìm hiểu mạng, sở hạ tầng, đặc quyền tài khoản, danh tính nội dung hoạt động chức hàng ngày mức độ quan trọng tài nguyên Chúng bắt đầu tìm kiếm hội để thu thập thơng tin xác thực bổ sung, nâng cấp đặc quyền, sử dụng đặc quyền mà họ thỏa hiệp để truy cập tài nguyên, ứng dụng liệu 3 - Leo quyền ngang tài sản, tài khoản, tài ngun và danh tính: Sau đó, tác nhân đe dọa tận dụng thông tin đăng nhập bị đánh cắp kiến thức môi trường để thỏa hiệp tài sản bổ sung, tài nguyên danh tính (tài khoản) thông qua công leo quyền Điều tiếp tục thực thông qua môi trường nạn nhân - Thăm dò hội bổ sung: Trong tiếp tục xác định điểm yếu khác lỗ hổng, máy chủ cấu hình sai, bổ sung thông tin đăng nhập đặc quyền, mục tiêu kẻ công không bị phát Chúng hoạt động chế độ tàng hình, tác nhân đe dọa xác định nhiều mục tiêu hơn, cài đặt thêm phần mềm độc hại hack công cụ mở rộng diện chúng cách sử dụng công cụ bổ sung vectơ công, từ lỗ hổng đến bị xâm nhập danh tính - Lọc phá hủy liệu: Cuối cùng, kẻ cơng thu thập, đóng gói lọc liệu có ích cho chúng, trường hợp xấu nhất, kẻ công thường phá hủy tài sản tài nguyên nạn nhân (phần mềm tống tiền) Điều quan trọng phải xem lại điều tồn chuỗi cơng thực mối đe dọa bên bên ngoài, đề cập bước Kiến thức người đẩy nhanh tất điều bước bỏ qua kiểm sốt bảo mật chúng coi đáng tin cậy [2] 1.1.2 Hiện trạng và phương thức truy cập hệ thớng dịch vụ Các tổ chức CNTT lớn có số lượng đáng kể tài khoản đặc quyền nội tổ chức Bản thân hệ thống chứa nghìn máy chủ, hàng trăm thiết bị mạng thiết bị khác Hầu hết quyền truy cập vào hệ thống cần tài khoản chủ yếu dựa vào tên người dùng mật toàn tổ chức, việc quản lý tài khoản quan trọng tổ chức, người dùng truy cập tài ngun hệ thống mà khơng cần giám sát hạn chế Nếu tài khoản người dùng với đặc quyền không giới hạn bị xâm phạm, cung cấp cho kẻ công truy cập vào hệ thống quan trọng liệu nhạy cảm tổ chức Sự kiện dẫn đến vi phạm liệu, vấn đề nghiêm trọng Năm 2019, số vụ vi phạm liệu Hoa Kỳ lên tới 1.473, khoảng 80% trường hợp vi phạm liên quan đến tài khoản đặc quyền cao bị xâm phạm Mặt khác, hệ thống âm theo nguyên tắc đặc quyền tối thiểu [9] Thông thường, kết nối từ người quản trị tới hệ thống dịch vụ chia theo hình thức: - Kết nối trực tiếp: thơng qua PC có kết nối trực tiếp tới máy chủ, thiết bị hệ thống doanh nghiệp - Kết nối từ xa: người quản trị sử dụng công cụ VPN từ Internet vào nội hệ thống, từ kết nối tới máy chủ, thiết bị doanh nghiệp 1.2 Các vấn đề tồn Có thể nói tài khoản đặc quyền chìa khóa cho hoạt động truy cập đến hệ thống tổ chức Do việc quản lý yếu tài khoản đặc quyền dẫn đến nguy sau: - Lỗi kiểm soát: Loại bỏ mật khơng thay đổi khơng kiểm sốt để tuân thủ quy định (ví dụ PCI DSS, Basel II, ISO 27001…) - Nguy an ninh: Một mối quan tâm nguy từ bên tổ chức, nhân viên IT gây tổn thất cho tổ chức nơi họ làm việc mà thân nhà quản lý khơng nghĩ tới Ví dụ tổ chức tài lớn, nhân viên IT nhận thấy khơng thưởng cơng xứng đáng cơng việc tắt tất UNIX phục vụ kinh doanh điều gây thiệt hại ước tính tới hàng triệu Dollar Anh ta làm việc biết mật tài khoản root hệ thống máy chủ UNIX Và tổ chức chứng minh hành động có vài đồng nghiệp biết mật tài khoản root hệ thống máy chủ UNIX - Mất suất công việc: Một mật thiết lập theo phương pháp thủ công nhân viên IT, người khơng thơng báo cho đồng nghiệp gây chậm trễ hàng đồng hồ trong việc tiếp cận thông tin phục vụ điều hành, kinh doanh tổ chức Với tổ chức lớn, có hàng trăm thiết bị mạng, máy chủ tốn nhiều thời gian để khắc phục cố Đối với hình thức truy cập đến hệ thống tại, sau phiên kết nối thiết lập (thông qua RDP, Telnet, SSH) đến máy chủ sở liệu hệ thống dịch vụ Do đó, người quản lý hệ thống giám sát log truy cập vào thiết bị, máy chủ hệ thống, không giám sát tác động đến hệ thống dịch vụ, không lưu log tác động Vì vậy, tiềm ẩn rủi ro xảy tác động gây an toàn, an ninh thông tin, gây ảnh hưởng đến hệ thống dịch vụ Các tổ chức cần phải kiểm soát cách chặt chẽ tài khoản đặc quyền Theo dõi hoạt động loại tài khoản làm giảm thiểu nguy bảo mật cung cấp quy định buộc hệ thống phải tuân thủ để đảm bảo trình hoạt động tổ chức liên tục 1.3 Kiến trúc giải pháp quản lý giám sát truy cập đặc quyền 1.4.1 Giới thiệu giải pháp quản quản lý truy cập đặc quyền Thơng tin đăng nhập tài khoản đóng vai trị quan trọng tính liên tục tổ chức Tuy nhiên, nghiên cứu kết luận cịn nhiều tổ chức khơng bảo vệ mức cao họ tài khoản đặc quyền Trong số công ty bắt đầu nhận thức vấn đề này, nhiều tổ chức cịn quan tâm đến Do đó, tài khoản đặc quyền cao tổ chức bị hack dễ dàng, dẫn đến vi phạm liệu Các tổ chức đang tìm kiếm dịch vụ giúp quản lý tất đặc quyền cao tài khoản bên giải pháp Vì vậy, cần có giải pháp quản lý tài khoản đặc quyền cao để dễ dàng quản trị viên việc xử lý tài khoản đặc quyền cao Từ nghiên cứu thực IBM, biết đến năm 2022, 70% tổ chức thực triển khai giải pháp PAM để giảm rủi ro tổng thể Theo hình …., Forrester Wave tun bố 80% vi phạm liệu kết thông tin đăng nhập đặc quyền bị xâm phạm Quản lý truy cập đặc quyền (Privileged Access Management - PAM) thường gọi quản lý tài khoản đặc quyền (Privileged Account Management Với kiến trúc PAM, người quản trị quản lý giám sát tài khoản đặc quyền, giảm thiểu rủi ro an ninh thông tin đánh cắp thông tin người sử dụng tài khoản đặc quyền lạm dụng quyền truy cập Mục tiêu PAM giữ cho tổ chức, doanh nghiệp an tồn khỏi cố tình bị lạm dụng thơng tin xác thực quyền truy cập đặc quyền, cho dù hệ thống truy cập từ xa hay người dùng ngồi trực tiếp trước bàn phím hình Các mối đe dọa truy cập đặc quyền đặc biệt có liên quan tổ chức bạn phát triển trải nghiệm thay đổi tăng trưởng, thị trường mở rộng kinh doanh Thông tin môi trường bạn lớn phức tạp hệ thống cơng nghệ trở nên tốt hơn, tổ chức có nhiều tài khoản đặc quyền Trong vài năm gần đây, tổ chức trải qua bùng nổ tài khoản người dùng đặc quyền toán quản lý đặc quyền Những tài khoản bao gồm nhân viên, nhà thầu, nhà cung cấp, kiểm toán viên, chí người dùng tự động sử dụng giải pháp chỗ, đám mây mơi trường kết hợp phức tạp bao gồm nhiều kết nối doanh nghiệp với doanh nghiệp 6 Điều không làm giảm nhu cầu cho tổ chức nhỏ nắm lấy PAM, mà bảo mật chuyên gia gặp khó khăn việc xác định phạm vi vấn đề tiến hành tập giảm thiểu quy mô lớn Mỗi doanh nghiệp người tiêu dùng có khả gặp rủi ro từ đặc quyền sử dụng véc tơ công Chỉ riêng thực tế thúc nhu cầu PAM nơi, cần phần để giảm thiểu rủi ro liên quan Do đó, chiến lược thành công cho đặc quyền véc tơ công không yêu cầu tất nguyên tắc PAM phải thực để giảm thiểu rủi ro - có liên quan đến doanh nghiệp bạn Nói chung, doanh nghiệp lớn phức tạp, bạn có nhiều trường hợp sử dụng PAM cần thực 1.4.2 Kiến trúc giải pháp quản lý giám sát truy cập đặc quyền Kiến trúc quản lý truy cập đặc quyền (PAM) thành công đảm bảo đặc quyền cho người dùng, phiên nội dung Theo truyền thống, phần quan trọng giải pháp PAM mà tổ chức tìm đến giải pháp quản lý thơng tin xác thực tự động cung cấp kiểm sốt truy cập an toàn, kiểm tra, cảnh báo ghi lại đặc quyền phiên truy cập Các phần trung tâm khác PAM bao gồm quản lý đặc quyền tối thiểu quản lý truy cập từ xa Ba giải pháp nên được tích hợp làm việc cho tồn giải pháp đặc quyền bạn Công nghệ quản lý thông tin xác thực đặc quyền thiết kế để quản lý tài khoản quản trị viên dùng miền, tài khoản cá nhân người dùng tài khoản quản trị, tài khoản dịch vụ, tài khoản dành riêng cho ứng dụng, thiết bị mạng, thông tin đăng nhập sở liệu tài khoản tự động hóa, chỗ hay đám mây Tuy nhiên, công nghệ triển khai phụ thuộc vào quản lý trường hợp sử dụng khả kết nối với tài nguyên chỗ, ảo hóa đám mây Kiến trúc giải pháp quản lý truy cập đặc quyền PAM (Privileged Access Management) thơng thường bao gồm thành phần sau: Authentication Server (Máy chủ xác thực): Đây thành phần đầu tiên, chịu trách nhiệm xác thực người dùng Nó thường cấu hình để sử dụng tùy chọn xác thực chứng số, mã thông báo (token) xác thực mật hai yếu tố (2FA) mạnh để đảm bảo người dùng có quyền sử dụng truy cập đặc quyền phép truy cập - Privileged Access Gateway (Cổng truy cập đặc quyền): Đây thành phần đặt người dùng máy chủ đích (destination servers) để kiểm sốt truy cập đặc quyền Cổng truy cập đặc quyền hướng dẫn người dùng đến danh sách máy chủ quyền truy cập máy chủ Nó tạo phiên truy cập đặc quyền (privileged access session) người dùng phép truy cập - Session Manager (Trình quản lý phiên): Thành phần giám sát quản lý phiên truy cập đặc quyền người dùng Session manager bảo đảm tất phiên truy cập đặc quyền giám sát ghi nhật ký với chi tiết hoạt động người dùng Nếu có hoạt động đáng ngờ nào, người dùng đóng phiên truy cập đột ngột, Session Manager báo cáo cho Security Operations Center (SOC) để phối hợp hành động cần thiết - Vault Server (Máy chủ lưu trữ gốc): Máy chủ chứa thông tin đăng nhập đặc quyền, mật khẩu, chứng số tài khoản, sử dụng chúng để tạo phiên truy cập đặc quyền Máy chủ quản lý thời gian hết hạn đăng nhập đặc quyền báo cáo cho SOC mật thông tin xác thực khác thay đổi - Log Manager (Trình quản lý nhật ký): Đây thành phần cuối kiến trúc Nó sử dụng để ghi nhật ký hoạt động tất người dùng truy cập đặc quyền Log manager đảm bảo hoạt động người dùng ghi lại sẵn sàng để khảo sát trường hợp có kiện xảy Nó cung cấp cho SOC cách để phân tích hoạt động xác định hoạt động đáng ngờ để giám sát phịng ngừa cơng tiềm 1.4.2.1 Mơ hình On Premise (tại chỗ) Triển khai kiến trúc giải pháp chỗ cho giải pháp quản lý truy cập đặc quyền hoạt động giới hạn chu vi tổ chức Chúng cấu hình để quản lý tài nguyên bên miễn chúng phép có kết nối ngồi với đám mây từ trung tâm liệu nút quản lý ủy quyền Về bản, sử dụng mơ hình thảo luận trước đây, phần mềm, thiết bị thiết bị ảo hóa triển khai trung tâm liệu công ty để đáp ứng kinh doanh mục tiêu số thành phần cấu hình thích hợp cho bên ngồi thơng tin liên lạc Bất kể có hay khơng, kết nối bên yêu cầu, việc triển khai bị ngắt kết nối (khơng có Internet truy cập), phải có tuyến mạng hợp lý đến hệ thống đích thơng qua nút quản lý từ xa, để tiến hành thay đổi mật từ xa, ghi lại phiên, nắm bắt kiện quản lý giao tiếp với công nghệ 1.4.2.1 Mơ hình Cloud (đám mây) Việc triển khai quản lý truy cập đặc quyền dựa đám mây triển khai số hình thức khác nhau: - Cloud-to-cloud để quản lý đặc quyền, bao gồm ứng dụng đến ứng dụng (IaaS) dạng kho chứa bí mật - Quản lý truy cập đặc quyền dựa đám mây cho tất chức chính: quản lý mật khẩu, phiên quản lý, truy cập từ xa, kiểm tra, báo cáo đặc quyền tối thiểu (SaaS) - Các giải pháp truy cập đặc quyền lưu trữ để hỗ trợ kết hợp mơ hình triển khai (PaaS) 1.4 Kết luận chương Chương giới thiệu tổng quan trạng quản lý giám sát truy cập hệ thống dịch vụ vấn đề tồn gây an tồn thơng tin doanh nghiệp tổ chức thông qua tài khoản đặc quyền Trong chương nêu rõ mức độ quan trọng ảnh hưởng tài khoản đặc quyền tổ chức, doanh nghiệp Bên cạnh đó, chương giới thiệu giải pháp quản lý truy cập đặc quyền giúp tăng cường, đảm bảo an ninh an tồn thơng tin cho tổ chức, doanh nghiệp với hình thức cơng đặc quyền ngày 9 CHƯƠNG 2: GIẢI PHÁP QUẢN LÝ TRUY CẬP ĐẶC QUYỀN CYBERARK 2.1 Hệ thống quản lý truy cập đặc quyền CyberArk CyberArk công ty hàng đầu giới lĩnh vực bảo mật định danh số Khởi đầu với phát minh cung cấp giải pháp quản lý truy cập đặc quyền - Privilege Access Management, CyberArk cung cấp giải pháp bảo mật toàn diện cho quản lý truy cập định danh số không cho định danh người mà cho ứng dụng, hệ thống tự động hóa định danh máy Theo báo cáo Magic Quandrant Công ty CNTT Gartner 2022, CyberArk dẫn đầu thị trường sản phẩm giải pháp quản lý truy cập đặc quyền PAM Magic Quadrant (MQ) loạt báo cáo nghiên cứu thị trường xuất công ty tư vấn CNTT Gartner dựa phương pháp phân tích liệu định tính độc quyền để chứng minh xu hướng thị trường, chẳng hạn hướng đi, trưởng thành người tham gia 2.2 Các thành phần và tính giải pháp 2.2.1 Thành phần giải pháp Giải pháp Quản lý truy cập đặc quyền bao gồm thành phần sau: 2.2.2.1 Digital Vault (Thành phần lưu trữ gốc) Digital Vault thành phần lưu trữ toàn thông tin quan trọng hệ thống, thành phần dựa công nghệ Digital Vault CyberArk, đáp ứng với chuẩn bảo mật FIPS 140-2 (với thuật tốn mã hóa AES-256) chứng minh đáp ứng chuẩn bảo mật như: PCI, NERC, FERC, SOX, HIPAA, GLB… Secure Digital Vault thiết kế với khả bảo mật đa lớp (bao gồm: tường lửa, VPN, xác thực, điều khiển truy cập, mã hóa…) kết hợp chặt chẽ với trung tâm hệ thống quản lý mật đặc quyền – PIM Suite giải pháp tối ưu vấn đề lưu trữ, chia sẻ định danh môi trường doanh nghiệp 2.2.2.2 Trung tâm quản lý sách - Central Policy Manager (CPM) Thành phần quản trị sách tập trung bảo mật định danh truy cập đặc quyền đặt sách cho hệ thống (độ dài mật khẩu, độ phức tạp mật khẩu, tần suất đổi mật khẩu…) 10 2.2.2.3 Cổng truy cập web - Password Vault Web Access (PVWA) Thành phần PVWA giao diện web portal tập trung để yêu cầu, truy cập quản lý tài khoản đặc quyền, kết nối với thiết bị quản lý toàn doanh nghiệp, kể người dùng đầu cuối người quản trị 2.2.2.4 - Quản lý phiên đặc quyền - Privileged Session Manager (PSM) Module hoạt động proxy, có chức ghi lại tồn thao tác người quản trị đăng nhập vào thiết bị PSM quản lý như: Window, Unix, Network Devices qua giao thức RDP, SSH Telnet file Video dạng text lưu giữ Vault Server Một điểm bật module PSM không yêu cầu cài đặt AGENT target server (server, database, …) - Cho phép theo dõi trực tiếp (real-time monitoring) tất thao tác quản trị hệ qua video Auditor ngắt phiên làm việc trường hợp cần thiết - Cung cấp tính Single-Sign-On cho phép quản trị hệ thống không cần phải nhớ mật hệ thống quản lý 2.2.2.5 Phân tích mối đe dọa đặc quyền - Privilege Threat Analytics (PTA) Module đảm nhận trách nhiệm thu thập phân tích liệu từ thành phần mạng lưới để phát ngăn chặn công nhắm vào tài khoản đặc quyền 2.2.2.6 Một số module khác Module quản lý khóa SSH - SSH Keys Manager - Module có chức lưu trữ, quản lý tập trung bảo mật cao SSH Key máy chủ Vault - Kiểm soát việc truy cập SSH Key ứng dụng thông qua quyền sử dụng sách - Giảm nguy bị truy cập trái phép vào hệ thống quan trọng cách đảm bảo chủ động, luân chuyển kiểm soát quyền truy cập tài khoản đặc quyền qua SSH Key - Nhanh chóng phát mối nghi ngờ hành động tài khoản đặc quyền cách theo dõi phiên làm việc qua SSH theo thời gian thực - Tự động phân phối khóa cách suốt cho ứng dụng Module quản lý truy cập ứng dụng - Application Access Manager (AAM) 11 - Module cung cấp API cho phép tích hợp với ứng dụng để thay đổi mật tài khoản Script, ứng dụng phát triển - Hỗ trợ đa dạng ngơn ngữ lập trình C, JAVA, CLI, NET - Xác thực ứng dụng trước cung cấp mật để sử dụng - Cho phép triển khai theo nhiều mơ hình khác (Agent, Agentles, DevOps cloud) 2.2.2 Nguyên lý hoạt động giải pháp Nguyên lý hoạt động giải pháp mô tả theo quy trình sau: 2.2.2.7 - Định nghĩa sách mật cho thiết bị toàn hệ thống Adminitrator hệ thống IT đăng nhập vào PVWA để định nghĩa sách mật cho thiết bị toàn hệ thống - Chính sách mật lưu Vault Server đẩy xuống CPM 2.2.2.8 - Khởi tạo reset lại mật cho thiệt bị hệ thống Khi thiết bị hệ thống công nghệ thông tin quản lý hệ thống quản lý mật đặc quyền, Module CPM sinh mật (dựa sách mật Administrator định nghĩa) đẩy mật xuống thiết bị, đồng thời mật CPM đẩy phía Vault Server để lưu lại 2.2.2.9 - Yêu cầu mật từ nhân viên IT để sử dụng (Dual Control) Nhân viên IT muốn đăng nhập vào thiết bị hệ thống, họ phải đăng nhập vào PVWA để lấy mật tương ứng với thiết bị họ quản lý - Trong trường hợp họ muốn quản lý thiết bị khác, họ phải viết thông báo gửi tới quản trị hệ thống PIM (Một email tự động gửi tới quản trị hệ thống PIM) - Sau quản trị hệ thống PIM chấp nhận nhân viên IT phép lấy mật để truy cập vào thiết bị (Đây quy trình kiểm sốt kép – Dual Control) Q trình hệ thống xác thực ghi lại thông qua ticket, phục vụ cho mục đích truy vết sau - Sau nhân viên IT sử dụng xong mật khẩu, Module CPM tự động thay đổi mật thiết bị 2.2.2.10 Thống kê, báo cáo - CyberArk cung cấp chức báo cáo, thông kê đầy đủ - Auditor xem, lập thơng kê số lượng thiết bị quản lý mật khẩu… 12 2.2.3 Các chế bảo mật áp dụng giải pháp - Session Encrytion: CyberArk PAM sử dụng giao thức độc quyền TCP/1858 bắt buộc người dùng sử dụng giao diện CyberArk để truy cập tới Vault - Firewall: Tưởng lửa hardened xây dựng sẵn Vault - Authentication: Ngoài việc sử dụng phương thức xác thực CyberArk, giải pháp hỗ trợ tích hợp với phương thức xác thực bảo mật khác đảm bảo xác thực đa nhân tố - Discretionary Access Control: Quản lý quyền tài khoản quản trị Vault dựa Role Based Access Control (RBAC) cho phép phân quyền chi tiết với user quản trị - Mandatory Access Control: Cung cấp tính quản trị theo vùng mạng (Geographic Control – Network Area) giới hạn thời gian truy cập - Auditing: Các hành động tác động đến Vault ghi lại dạng chuỗi kiểm tốn mã hóa chống sửa đổi (tamperproof audit trail) chế quản lý theo iện - File Encryption: Hỗ trợ mã hóa, băm tệp tin lưu trữ sử dụng thuật toàn AES-256 / AES-128, RSA-2048 / RSA-1024, 3DES, SHA1 đảm bảo đối tượng có khóa mã lưu ln mã hóa, sẵn sàng khơi phục 2.2.4 Mơ hình luồng liệu 2.2.4.1 Luồng liệu truy cập tới hệ thống đích - Quản trị viên đăng nhập vào giao diện Web PVWA - Chọn tài khoản đặc quyền cần sử dụng ấn Connect (kết nối) Trên máy tính Quản trị viên tự động mở phiên kết nối Remote-Desktop tới máy chủ PSM - Trên EPV (Vault Server) tạo sẵn tài khoản thông tin kết nối tới hệ thống đích (bao gồm username, password, IP address, hostname, giao thức kết nối v.v.), Module PSM giao tiếp trực tiếp với EPV để lấy thông tin sử dụng cho phiên kết nối tương ứng tới hệ thống đích - PSM mở phiên kết nối nối tiếp tới thiết bị đích qua giao thức quản trị tương ứng (sử dụng thông tin bước 3) - PSM ghi lại các phiên làm việc quản trị viên trình hoạt động Khi Quản trị viên kết thúc phiên làm việc mình, PSM tải file video/text ghi lại phiên làm việc Quản trị viên lên EPV để lưu trữ tập trung - Vault gửi log hệ thống SIEM 2.2.4.2 Luồng tương tác CPM hệ thống đích 13 Người quản trị hệ thống CyberArk đăng nhập vào giao diện Web PVWA, đặt sách cho hệ thống (độ dài mật khẩu, độ phức tạp mật khẩu, tần suất đổi mật khẩu…) Các sách lưu EPV (Vault Server) Module CPM chịu trách nhiệm thực đổi mật thiết bị CyberArk quản lý theo sách định nghĩa Khi tài khoản cần phải thay đổi mật (đến thời hạn đổi mật khẩu, người quản trị định đổi mật khẩu), CPM thực bước sau: - CPM gửi yêu cầu lấy mật dùng tài khoản tới Vault Server - CPM thực sinh mật với độ phức tạp tuân theo sách mật định nghĩa lưu trữ Vault - CPM gửi lệnh đổi mật xuống thiết bị, bao gồm mật dùng mật mới, sử dụng công cụ chuẩn tương ứng với tảng để đổi mật Kết đổi mật mật CPM gửi tới Vault Server để cập nhật o Mật có hiệu lực q trình đổi mật thành cơng o Trường hợp q trình đổi mật khơng thành cơng, Vault Server sử dụng mật trước - Quá trình thay đổi mật kết thực lưu lại Vault 2.2.5 Các tính giải pháp 2.2.5.1 Khám phá quản lý thông tin đăng nhập - CyberArk cung cấp số phương pháp để khám phá tài khoản đặc quyền - thông tin xác thực - Khi tất tài khoản đặc quyền phát đưa lên, sách thiết lập (ví dụ: độ dài độ phức tạp tần suất thay đổi mật khẩu) 2.2.5.2 - Cô lập thông tin đăng nhập phiên CyberArk cho phép kết nối an tồn với hệ thống cuối thơng qua việc sử dụng PSM cách ly hồn tồn, khơng để lộ thông tin đăng nhập trực tiếp cho người dùng cuối ứng dụng, v.v - Các hệ thống mục tiêu cách ly hồn tồn, thơng tin xác thực đặc quyền không hiển thị cho người dùng cuối ứng dụng thiết bị họ 14 - Người dùng cuối kết nối an tồn theo nhiều cách khác nhau, thơng qua cổng web CyberArk để truy cập chung thông qua nhiều quy trình cơng việc riêng 2.2.5.3 Ghi lại kiểm toán phiên - Các phiên truy cập đặc quyền ghi lại định dạng video và/hoặc văn - Được lưu trữ mã hóa chống giả mạo Digital Vault - Khi người dùng xem xét phiên ghi lại, ghi có danh sách hành động, người dùng ấn vào danh sách câu lệnh để chuyển video đến nội dung cần xem 2.2.5.4 - Giám sát hoạt động truy cập đặc quyền CyberArk ghi lại audit record cho lệnh kiện thực thi tổ hợp phím nhập định phiên với điểm số rủi ro dựa sách xác định trước - Điều cho phép nhân viên trung tâm điều hành an ninh thực phương pháp tiếp cận dựa rủi ro cách ưu tiên hoạt động rủi ro xảy môi trường hạ tầng CNTT 2.2.5.5 - Khắc phục rủi ro hành vi CyberArk tự động xoay vịng thơng tin xác thực trường hợp có hành vi rủi ro đánh cắp thông tin xác thực, bỏ qua Digital Vault - Các tài khoản không quản lý tự động đưa vào quản lý thông qua khả khám phá liên tục CyberArk - Ngồi ra, quản trị viên thiết lập sách để tự động tạm dừng chấm dứt phiên đặc quyền dựa rủi ro gặp phải 2.3 Kết luận chương Chương giới thiệu giải pháp quản lý truy cập quyền nhà cung cấp CyberArk – nhà cung cấp giải pháp tăng cường bảo mật hàng đầu giới Trong chương nêu rõ thành phần, chức năng, nguyên lý hoạt động giải pháp tính giải pháp giúp tăng cường khả đảm bảo an tồn, an ninh thơng tin cho tổ chức, doanh nghiệp Từ giúp hiểu sâu giải pháp hiệu mang lại 15 CHƯƠNG 3: XÂY DỰNG VÀ ĐÁNH GIÁ HỆ THỐNG QUẢN LÝ TRUY CẬP ĐẶC QUYỀN CYBERARK 3.1 Mơ hình triển khai thử nghiệm 3.1.1 Kịch triển khai Trong phần này, học viên xây dựng mơ hình triển khai hệ thống CyberArk PAM đầy đủ tính cho doanh nghiệp vừa nhỏ (200 nhân sự, cần site phục vụ việc sử dụng chỗ) Hệ thống xây dựng 04 máy chủ: 01 máy chủ đóng vai trị Vault Server, 01 máy chủ cài đặt module PSM + CPM + PVWA, 01 máy chủ cài đặt module PTA Sau xây dựng hệ thống, học viên thực vận hành hệ thống việc quản lý giám sát truy cập với kịch sau: Người dùng yêu cầu tạo phiên kết nối đến thiết bị đích thơng qua CyberArk phiên kết nối cần yêu cầu duyệt người ủy quyền cấp 1, thực thao tác quản trị hệ thống thử nghiệm tính hệ thống Từ đưa đánh giá giải pháp PAM CyberArk so với hình thức truy cập truyền thống qua tiêu chí như: hình thức kết nối, quản lý thay đổi thông tin đăng nhập tài khoản đặc quyền, ghi log truy cập, khả cho phép lưu lại video trình thao tác phiên, phát hiện, ngăn chặn mối nguy hại người dùng sử dụng phiên 3.1.2 Vận hành thử nghiệm hệ thống 3.1.2.1 Tạo người dùng  Các bước tạo Users đăng nhập vào PVWA sử dụng hệ thống CyberArk:  Remote vào Vault Server  Đăng nhập vào PrivateArk Client tài khoản Administrator  Vào Tools > Administrative tools >Users and Groups  New > User điền thuộc tính User 3.1.2.2 Tạo Safe đưa thành viên vào Safe Mỗi Safe nơi lưu trữ người dùng cấp phép truy cấp đến hệ thống Tạo Safes  Đăng nhập vào PVWA tài khoản có quyền Add Safes 16  Bấm vào Add Safe chọn thuộc tính Safe: o Enable Object Level Access Control: Phân quyền User sử dụng đến Account Safe o Save the last account versions: Số phiên mật trước mà bạn muốn lưu cho tài khoản o Save account versions from the last days: số ngày mà phiên mật lưu Safe Đưa thành viên vào Safe  Sau cấu hình thuộc tính Safe, tiến hành Add thành viên sử dụng Safe: tìm kiếm User để đưa vào Safe bấm Next  Cấp quyền cho thành viên Safe bấm Creat để tạo Safe:  Access: o Xem danh sách Account có Safe o Cho phép sử dụng Account Safe o Truy xuất xem thông tin Account Safe  Account Management: o Cho phép thêm Account vào Safe o Cập nhật thuộc tính tài khoản có Điều không bao gồm thêm tài khoản cập nhật giá trị tài khoản o Cho phép Thay đổi giá trị tài khoản nội dung tệp o Cho phép xóa account Safe o Mở khóa Account bị khóa User khác  Safe Management and Monitoring: o Cho phép chỉnh sửa thuộc tính Safe o Quản lý Safe Member o Backup Safe  Monitor: o View audit: Xem nhật ký sử dụng Account o View Safe Members: xem quyền Safe member  WorkFlow 17 o Xác nhận yêu cầu sử dụng Account Safe o Truy cập Account Safe mà không cần xác nhận từ người dùng ủy quyền  Advanced o Chuyển Account thư mục Safe sang thư mục khác o Tạo Folder Safe o Xóa Folder Safe 3.1.2.3 - Tích hợp tài khoản đặc quyền vào hệ thống (Accounts) Các bước để tích hợp tài khoản đặc quyền (Accounts) vào hệ thống CyberArk:  Đăng nhập vào PVWA Administrator  Vào tab Accounts  Bấm Add Account - Chọn:  Loại hệ thống: Window, UNIX, Database,… Chọn tảng kết nối: loại hệ thống có tảng kết nối khác nhau: ví dụ: Window (Local Desktop Account, Domain Account, Local Server Account), UNIX (SSH),…  Store in Safe: lựa chọn lưu Safe  Thuộc tính Account: bao gồm thông tin tài khoản đặc quyền để truy cập vào thiết bị (địa IP, Username/Password, DB name,…) 3.1.2.4 Tạo phiên mở kết nối thông qua CyberArk Trong kịch này, người sử dụng cần request phiên mức Level (request sử dụng phiên cần xác nhận người dùng ủy quyền Safe mức 1) - Người sử dụng tạo yêu cầu sử dụng Account Safe tương ứng: đăng nhập PVWA bấm vào Account cần request kết nối - Sau đăng nhập thành cơng, hình hiển thị thơng tin Account mà người sử dụng cấp quyền, người sử dụng chọn tài khoản đặc quyền muốn sử dụng truy cập, bấm Request Connection, sau request gửi tới người ủy quyền cấp để phê duyệt Sau người ủy quyền cấp phê duyệt Người sử dụng mở phiên truy cập 18 3.1.2.5 Tính phát ngăn chặn mối nguy hại Module PTA CyberArk cho phép thu thập liệu từ phiên để phân tích hành động, thao tác người sử dụng để từ đưa cảnh báo hành động phiên, người quản trị cấu hình sách tùy theo tổ chức, doanh nghiệp để đảm bảo an toàn cho hệ thống Ở học viên tạo sách PTA thực chặn thao tác người dùng nâng quyền tài khoản sử dụng máy chủ Linux thông qua SSH câu lệnh “su root” Khi PTA nhận thông tin người dùng gõ lệnh “su root” ngắt phiên gửi cảnh báo cho quản trị để nắm thông tin 3.2 Đánh giá kết thu - Sau thử nghiệm vận hành hệ thống, học viên thực đánh giá giải pháp việc quản lý giám sát truy cập từ người dùng tới máy chủ đích tích hợp thơng qua tài khoản đặc quyền Quản lý phiên truy cập đặc quyền - Khi người dùng yêu cầu sử dụng tài khoản truy cập đặc quyền để truy cập vào hệ thống đích, người dùng bắt buộc phải truy cập PVWA để thao tác tạo request truy cập tài nguyên theo ý muốn - Khi người dùng tạo request truy cập hệ thống, người quản trị xem request PVWA có thực phê duyệt truy cập hay không Việc đảm bảo người quản trị xem xét truy cập cần thiết tài nguyên truy cập có thuộc quyền quản lý người sử dụng khơng Hình 1: Thông tin phiên truy cập người dùng yêu cầu Giám sát phiên truy cập đặc quyền Khi người sử dụng thao tác sử dụng phiên, thông tin liệu tương tác người dùng tới máy chủ đích thơng qua PSM mã hóa để đảm bảo trường hợp có kẻ cơng nghe giải mã liệu truyền môi trường thành phần CyberArk