Tìm hiểu công cụ quản lý chính sách và thực hiện một số chính sách nhằm quản lí Định danh, xác thực người dùng và bảo mật thông tin thanh toán Điện tử trong lĩnh vực thương mại Điện tử

Vì vậy, việc nghiên cứu và thực hiện các chính sách quản lý định danh, xác thực người dùng, và bảo mật thông tin thanh toán điện tử không chỉ giúp doanh nghiệp đảm bảo tuân thủ các quy đ

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

BÁO CÁO QUẢN LÝ AN TOÀN THÔNG TIN

TÌM HIỂU CÔNG CỤ QUẢN LÝ CHÍNH SÁCH VÀ THỰC HIỆN MỘT SỐ CHÍNH SÁCH NHẰM QUẢN LÍ ĐỊNH

DANH, XÁC THỰC NGƯỜI DÙNG VÀ BẢO MẬT

THÔNG TIN THANH TOÁN ĐIỆN TỬ TRONG LĨNH

VỰC THƯƠNG MẠI ĐIỆN TỬ

Sinh viên thực hiện: Nguyễn Tiến Hoà AT180618 Trần Quang Toả AT180644

Phù Trung Kiên AT180626

Nguyễn Hoàng Quân AT180639

Giảng viên hướng dẫn: Nguyễn Thị Thu Thuỷ

Hà Nội – 2024

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

BÁO CÁO QUẢN LÝ AN TOÀN THÔNG TIN

TÌM HIỂU CÔNG CỤ QUẢN LÝ CHÍNH SÁCH VÀ THỰC HIỆN MỘT SỐ CHÍNH SÁCH NHẰM QUẢN LÍ ĐỊNH DANH, XÁC THỰC NGƯỜI DÙNG VÀ BẢO MẬT

THÔNG TIN THANH TOÁN ĐIỆN TỬ TRONG LĨNH

VỰC THƯƠNG MẠI ĐIỆN TỬ

Sinh viên thực hiện: Nguyễn Tiến Hoà AT180618 Trần Quang Toả AT180644

Phù Trung Kiên AT180626

Nguyễn Hoàng Quân AT180639

Giảng viên hướng dẫn: Nguyễn Thị Thu Thuỷ

Hà Nội – 2024

MỤC LỤC

MỤC LỤC i

DANH MỤC TỪ VIẾT TẮT iv

DANH MỤC HÌNH ẢNH v

LỜI CẢM ƠN vi

MỞ ĐẦU 1

CHƯƠNG 1 TỔNG QUAN VỀ QUẢN LÝ CHÍNH SÁCH VÀ AN TOÀN THÔNG TIN TRONG LĨNH VỰC THƯƠNG MẠI ĐIỆN TỬ 3

1.1 Khái niệm quản lý chính sách và an toàn thông tin 3

1.2 Vai trò của an toàn thông tin trong thương mại điện tử 4

1.3 Các thách thức về bảo mật trong hệ thống thương mại điện tử 5

1.3.1 Tấn công từ các mối đe dọa bên ngoài 6

1.3.2 Rủi ro từ hệ thống nội bộ 7

1.3.3 Vấn đề bảo vệ thông tin thanh toán 7

1.3.4 Mối đe dọa từ bên thứ ba và chuỗi cung ứng 8

1.4 Các giải pháp bảo mật trong thương mại điện tử 8

1.5 Các tiêu chuẩn bảo mật thông tin thanh toán điện tử 8

1.5.1 PCI DSS (Payment Card Industry Data Security Standard) 9

1.5.2 SSL/TLS (Secure Sockets Layer / Transport Layer Security) 9

1.5.3 Mã hóa dữ liệu 9

1.6 Kết luận chương 10 CHƯƠNG 2 GIỚI THIỆU VÀ PHÂN TÍCH CÔNG CỤ QUẢN LÝ VÀ BẢO

MẬT KEYCLOAK 11

2.1 Tổng quan về keycloak 11

2.2 Tính năng chính của Keycloak 11

2.2.1 Quản lý định danh (Identity Management) 11

2.2.2 Xác thực người dùng (Authentication) 12

2.2.3 Single Sign-On (SSO) 12

2.2.4 Xác thực đa yếu tố (MFA) 13

2.2.5 Hỗ trợ OAuth2 và OpenID Connect 14

2.3 Ưu, nhược điểm của keycloak 14

2.4 So sánh Keycloak với các giải pháp bảo mật khác 15

2.4.1 Keycloak và SafeNet IDPrime Virtual 15

2.4.2 Keycloak và Okta 16

2.4.3 Keycloak và Auth0 17

2.4.4 Keycloak và AWS IAM (Identity and Access Management) 18

2.5 Ứng dụng Keycloak trong thương mại điện tử 18

2.6 Kết luận chương 20

CHƯƠNG 3 TRIỂN KHAI CÔNG CỤ KEYCLOAK 21

3.1 Mô hình triển khai 21

3.2 Kịch bản 22

3.2.1 Tạo và quản lý người dùng trong Keycloak 22

3.2.2 Thiết lập chính sách mật khẩu Bảo mật 24

3.2.3 Kích hoạt và cấu hình xác thực hai yếu tố (2FA) 25

3.2.4 Sử dụng xác thực hai yếu tố của người dùng 27

3.3 Kết luận chương 30

KẾT LUẬN 31

TÀI LIỆU THAM KHẢO 33 PHỤ LỤC 34

DANH MỤC TỪ VIẾT TẮT

TMĐT Thương Mại Điện Tử

DDoS Distributed Denial of Service

PCI DSS Payment Card Industry Data Security Standard

XSS Cross-Site Scripting

SQL Structured Query Language

API Application Programming Interface

TLS/SSL Transport Layer Security / Secure Sockets Layer

SSO Single Sign-On

IDS/IPS Intrusion Detection System / Intrusion Prevention System GDPR General Data Protection Regulation

AES Advanced Encryption Standard

RSA Rivest-Shamir-Adleman

MFA Multi-Factor Authentication

RH-SSO Red Hat Single Sign-On

LDAP Lightweight Directory Access Protocol

OTP One-Time Password

SaaS Software as a Service

AWS IAM Amazon Web Services Identity and Access Management OIDC OpenID Connect

2FA Two-Factor Authentication

URL Uniform Resource Locator

DANH MỤC HÌNH ẢNH

Hình 1.1 Tăng trưởng TMĐT trong 1 quý 2023 3

Hình 1.2 Mối đe doạ phổ biến trong giao dịch TMĐT 6

Hình 1.3 Mô tả tấn công XSS 7

Hình 2.1 Mô hình xác thực SafeNet IDPrime 15

Hình 2.2 Mô hình dịch vụ okta 16

Hình 2.3 Mô hình xác thức với Auth0 17

Hình 2.4 Mô hình hoạt động của AWS IAM 18

Hình 3.1 Mô hình triển khai công cụ Keycloak 21

Hình 3.2 Tạo người dùng mới 22

Hình 3.3 Xác thực người dùng bằng mật khẩu 22

Hình 3.4 Quản lý thông tin người dùng 23

Hình 3.5 Cài đặt máy chủ email 24

Hình 3.6 Thiết lập chính sách mật khẩu 25

Hình 3.7 Bật xác thực 2 yếu tố 26

Hình 3.8 Chính sách xác thực 2 yếu tố 26

Hình 3.9 Cấu hình xác thực ứng dụng 27

Hình 3.10 Thêm tài khoản xác thực vào ứng dụng 28

Hình 3.11 Sử dụng OTP để đăng nhập 29

Hình 3.12 Đăng nhập thành công 29

LỜI CẢM ƠN

Chúng em xin chân thành gửi lời cảm ơn cô Nguyễn Thị Thu Thuỷ - Khoa

An toàn thông tin - Học viện Kỹ thuật Mật mã đã tạo điều kiện, cung cấp kiến thức chuyên sâu, trong thời gian thực hiện đề tài đã tận tình hướng dẫn, giúp đỡ, chỉ bảo Đồng thời, chúng em xin gửi lời cảm ơn đến các thầy cô trong Học viện Kỹ thuật mật mã đã truyền đạt cho chúng em những kiến thức từ cơ bản đến nâng cao suốt những năm học qua, giúp chúng em có được những kiến thức cơ bản để có thể hoàn thành được đề tài này

Trong quá trình nghiên cứu và thực hiện đề tài, chúng em đã rất cố gắng để hoàn thành đề tài tốt nhất có thể, nhưng do chưa có nhiều kinh nghiệm thực tế nên còn nhiều thiếu sót trong dự án Vậy nên chắc chắn sẽ không thể tránh khỏi những thiếu sót khi thực hiện đề tài, chúng em rất mong nhận được sự góp ý từ thầy cô

để có thể hoàn thiện tốt hơn đề tài của mình

Chúng em xin chân thành cảm ơn!

NHÓM SINH VIÊN THỰC HIỆN

Phù Trung Kiên Trần Quang Toả Nguyễn Tiến Hoà Nguyễn Hoàng Quân

MỞ ĐẦU

1 Lý do chọn đề tài

Thương mại điện tử (TMĐT) đang phát triển mạnh mẽ trong bối cảnh công nghệ thông tin không ngừng tiến bộ và thay đổi Việc mua sắm và thanh toán trực tuyến ngày càng trở nên phổ biến, tạo ra nhu cầu cấp thiết về việc bảo mật thông tin người dùng, đặc biệt là thông tin định danh và thanh toán điện tử Tuy nhiên, vấn đề bảo mật thông tin cá nhân và thanh toán trực tuyến lại đang gặp phải nhiều thách thức lớn do sự gia tăng của các hình thức tấn công mạng như lừa đảo (phishing), đánh cắp thông tin (data breaches), và tấn công trung gian (man-in-the-middle attacks) Điều này đặt ra yêu cầu phải xây dựng các chính sách và giải pháp quản lý định danh, xác thực người dùng và bảo mật thông tin một cách chặt chẽ Bên cạnh đó, hệ thống pháp lý liên quan đến bảo mật thông tin trong lĩnh vực TMĐT tại Việt Nam cũng đang ngày càng hoàn thiện, đặc biệt với sự ra đời của các quy định về bảo vệ dữ liệu cá nhân Điều này đòi hỏi các doanh nghiệp TMĐT phải tuân thủ các yêu cầu pháp lý về bảo mật, đồng thời triển khai các công cụ quản lý chính sách để đảm bảo an toàn thông tin cho khách hàng

Vì vậy, việc nghiên cứu và thực hiện các chính sách quản lý định danh, xác thực người dùng, và bảo mật thông tin thanh toán điện tử không chỉ giúp doanh nghiệp đảm bảo tuân thủ các quy định pháp lý mà còn gia tăng lòng tin từ khách hàng, góp phần thúc đẩy sự phát triển bền vững của TMĐT Đây chính là lý do đề tài này được chọn, với mục tiêu nghiên cứu các công cụ quản lý chính sách và các giải pháp bảo mật thông tin phù hợp trong lĩnh vực TMĐT

2 Mục tiêu của đề tài

Mục tiêu của đề tài bao gồm việc nghiên cứu và tích hợp công cụ Keycloak

để quản lý định danh và xác thực người dùng

• Nghiên cứu tổng quan về quản lý chính sách và an toàn thông tin trong lĩnh vực thương mại điện tử, xác định những thách thức và yêu cầu cần phải đáp ứng

• Giới thiệu và phân tích công cụ quản lý và bảo mật Keycloak, đánh giá khả năng và tiềm năng của Keycloak trong việc quản lý định danh và bảo mật thông tin trong thương mại điện tử

• Triển khai công cụ Keycloak vào hệ thống thương mại điện tử, xem xét các vấn đề liên quan đến tích hợp, cấu hình và tối ưu hóa để đảm bảo tính chính xác và an toàn

• Đánh giá hiệu quả của việc triển khai Keycloak trong thực tế, phân tích kết quả và đề xuất các biện pháp cải thiện để nâng cao quản lý chính sách và an toàn thông tin trong lĩnh vực thương mại điện tử

3 Nội dung báo cáo

Nội dung báo cáo được chia thành 3 chương như sau:

Chương 1: Tổng quan về quản lý chính sách và an toàn thông tin trong lĩnh vực thương mại điện tử

Chương 2: Giới thiệu và phân tích công cụ quản lý và bảo mật keycloak Chương 3: Triển khai công cụ Keycloak

CHƯƠNG 1 TỔNG QUAN VỀ QUẢN LÝ CHÍNH SÁCH VÀ AN TOÀN THÔNG TIN TRONG LĨNH VỰC THƯƠNG MẠI ĐIỆN TỬ

1.1 Khái niệm quản lý chính sách và an toàn thông tin

Quản lý chính sách là quá trình xây dựng, thực thi và giám sát các quy định, quy tắc nhằm đảm bảo tính toàn vẹn, tính bảo mật và tính sẵn sàng của thông tin trong một tổ chức hay hệ thống Các chính sách này bao gồm các quy trình và quy tắc nhằm kiểm soát truy cập, xác định quyền hạn của người dùng, và quản lý các rủi ro liên quan đến an toàn thông tin Quản lý chính sách đóng vai trò quan trọng trong việc thiết lập các tiêu chuẩn an ninh mạng và giảm thiểu rủi ro về vi phạm bảo mật

Hình 1.1 Tăng trưởng TMĐT trong 1 quý 2023

An toàn thông tin (Information Security) đề cập đến việc bảo vệ thông tin khỏi các mối đe dọa như truy cập trái phép, mất mát, tấn công mạng hoặc phá hoại Trong bối cảnh thương mại điện tử, an toàn thông tin không chỉ đảm bảo dữ liệu

cá nhân và thanh toán của khách hàng được bảo vệ, mà còn duy trì tính toàn vẹn của hệ thống, giúp doanh nghiệp duy trì hoạt động và uy tín Các khía cạnh chính của an toàn thông tin bao gồm:

• Tính bảo mật (Confidentiality): Đảm bảo rằng thông tin chỉ được truy cập bởi những người được phép

• Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin không bị thay đổi hoặc phá hủy trái phép

• Tính sẵn sàng (Availability): Đảm bảo rằng thông tin luôn sẵn sàng cho những người dùng hợp lệ khi cần thiết

Trong lĩnh vực thương mại điện tử, việc quản lý chính sách và an toàn thông tin là yếu tố then chốt để đảm bảo môi trường kinh doanh trực tuyến an toàn và tin cậy, giúp ngăn ngừa các cuộc tấn công, bảo vệ dữ liệu khách hàng và tuân thủ các quy định về bảo mật thông tin

1.2 Vai trò của an toàn thông tin trong thương mại điện tử

An toàn thông tin đóng vai trò quan trọng trong việc bảo vệ các hoạt động giao dịch và dữ liệu nhạy cảm trong lĩnh vực thương mại điện tử Khi ngày càng nhiều người tiêu dùng sử dụng các nền tảng trực tuyến để mua sắm và thực hiện thanh toán, việc đảm bảo an toàn thông tin trở thành yếu tố sống còn đối với doanh nghiệp, ảnh hưởng trực tiếp đến niềm tin của khách hàng và uy tín của thương hiệu Các vai trò cụ thể của an toàn thông tin trong thương mại điện tử bao gồm:

• Bảo vệ thông tin cá nhân và tài chính của khách hàng: Hệ thống thương mại điện tử lưu trữ một lượng lớn dữ liệu nhạy cảm như thông tin cá nhân, tài khoản ngân hàng, số thẻ tín dụng An toàn thông tin đảm bảo rằng dữ liệu này không bị truy cập trái phép hoặc đánh cắp bởi các tội phạm mạng, giúp bảo vệ quyền riêng tư của người tiêu dùng

• Ngăn chặn các cuộc tấn công mạng: Hệ thống thương mại điện tử là mục tiêu phổ biến của các loại tấn công mạng như tấn công từ chối dịch vụ (DDoS), tấn công giả mạo (phishing), và xâm nhập hệ thống Việc triển khai các biện pháp an toàn thông tin giúp giảm thiểu nguy cơ bị tấn công, đảm bảo tính liên tục của hoạt động kinh doanh

• Đảm bảo tính toàn vẹn của giao dịch: An toàn thông tin giúp đảm bảo rằng

các giao dịch thương mại diễn ra một cách minh bạch, chính xác và không

bị thay đổi Điều này giúp duy trì niềm tin của khách hàng vào hệ thống thương mại điện tử, giảm thiểu tranh chấp liên quan đến sai sót trong giao dịch

• Tăng cường lòng tin và sự hài lòng của khách hàng: Một hệ thống thương mại điện tử an toàn sẽ làm tăng mức độ tin cậy của khách hàng Khi người tiêu dùng cảm thấy thông tin của họ được bảo vệ tốt, họ sẽ tự tin hơn khi sử dụng dịch vụ, từ đó giúp doanh nghiệp xây dựng và duy trì mối quan hệ lâu dài với khách hàng

• Tuân thủ các quy định pháp lý: Nhiều quốc gia yêu cầu doanh nghiệp thương mại điện tử phải tuân thủ các tiêu chuẩn và quy định bảo mật như GDPR (quy định bảo vệ dữ liệu chung của châu Âu) hoặc PCI DSS (tiêu chuẩn bảo mật dữ liệu thẻ thanh toán) Việc áp dụng các biện pháp an toàn thông tin không chỉ giúp doanh nghiệp tránh bị phạt mà còn tăng tính hợp pháp và minh bạch trong hoạt động kinh doanh

1.3 Các thách thức về bảo mật trong hệ thống thương mại điện tử

Trong những năm gần đây, TMĐT tại Việt Nam chứng kiến sự phát triển vượt bậc với các tên tuổi lớn như Tiki, Shopee, Lazada, Sendo, Vntrip, hay Luxstay Bên cạnh tiềm năng phát triển, vẫn tồn tại những thách thức và rủi ro kìm hãm sự bứt phá của các doanh nghiệp TMĐT như: vấn đề lòng tin của người tiêu dùng, vấn đề bảo mật đối với hệ thống công nghệ thông tin, khó khăn trong việc bảo vệ dữ liệu khách hàng trước rủi ro bị tin tặc tấn công đánh cắp…

Hình 1.2 Mối đe doạ phổ biến trong giao dịch TMĐT

1.3.1 Tấn công từ các mối đe dọa bên ngoài

• Tấn công DDoS (Distributed Denial of Service): Đây là hình thức tấn công nhằm làm gián đoạn hoạt động của một trang web hoặc ứng dụng thương mại điện tử bằng cách gửi một lượng lớn yêu cầu truy cập đến hệ thống, làm cho nó không thể xử lý kịp Điều này có thể gây thiệt hại về doanh thu và ảnh hưởng đến trải nghiệm người dùng

• Phishing và Social Engineering: Tấn công phishing là một phương thức phổ biến nhằm lừa đảo người dùng để lấy thông tin đăng nhập, thông tin cá nhân hoặc thông tin tài chính bằng cách tạo ra các trang web, email hoặc tin nhắn giả mạo Kỹ thuật này rất hiệu quả và khó phòng ngừa do yếu tố con người

• Tấn công SQL Injection và Cross-Site Scripting (XSS): Tội phạm mạng có thể khai thác các lỗ hổng trong mã nguồn ứng dụng thương mại điện tử để thực hiện các tấn công như SQL Injection (tiêm mã SQL vào các trường nhập liệu để truy cập trái phép vào cơ sở dữ liệu) hoặc XSS (gắn mã độc vào các trang web để đánh cắp dữ liệu người dùng)

Hình 1.3 Mô tả tấn công XSS

1.3.2 Rủi ro từ hệ thống nội bộ

• Lỗ hổng bảo mật do cấu hình sai: Sai sót trong việc cấu hình hệ thống bảo mật, như thiếu mã hóa dữ liệu, không cập nhật kịp thời hoặc quyền truy cập không được kiểm soát chặt chẽ, có thể tạo ra lỗ hổng cho các cuộc tấn công mạng

• Quản lý quyền truy cập yếu kém: Hệ thống thương mại điện tử thường có nhiều nhân viên hoặc bên thứ ba được cấp quyền truy cập Nếu không có quy trình quản lý và giám sát chặt chẽ, việc lạm dụng quyền truy cập có thể dẫn đến rò rỉ thông tin hoặc lỗ hổng bảo mật

1.3.3 Vấn đề bảo vệ thông tin thanh toán

• Bảo vệ thông tin thẻ tín dụng: Hệ thống thương mại điện tử phải tuân thủ các tiêu chuẩn bảo mật như PCI DSS để bảo vệ thông tin thẻ tín dụng của khách hàng Tuy nhiên, việc đảm bảo rằng tất cả các quy trình và hệ thống đều tuân thủ các tiêu chuẩn này có thể là một thách thức đối với nhiều doanh nghiệp, đặc biệt là các doanh nghiệp vừa và nhỏ

• Quản lý các phương thức thanh toán khác nhau: Với sự phát triển của các hình thức thanh toán mới như ví điện tử, tiền điện tử, và các ứng dụng thanh

toán di động, việc quản lý và bảo vệ dữ liệu liên quan đến những phương thức này càng phức tạp, đòi hỏi các biện pháp bảo mật hiện đại và cập nhật liên tục

1.3.4 Mối đe dọa từ bên thứ ba và chuỗi cung ứng

• Đối tác và nhà cung cấp không an toàn: Doanh nghiệp thương mại điện tử thường hợp tác với nhiều đối tác và nhà cung cấp dịch vụ Nếu một trong số các đối tác này có hệ thống bảo mật yếu kém, điều này có thể gây ra rủi ro cho toàn bộ hệ thống Các cuộc tấn công vào chuỗi cung ứng kỹ thuật số có thể dẫn đến mất dữ liệu hoặc xâm nhập hệ thống

• API không an toàn: Nhiều hệ thống thương mại điện tử dựa vào API (giao diện lập trình ứng dụng) để tích hợp với các dịch vụ bên ngoài Nếu các API này không được bảo mật tốt, tội phạm mạng có thể khai thác để truy cập dữ liệu hoặc thực hiện các hành vi tấn công

1.4 Các giải pháp bảo mật trong thương mại điện tử

• Mã hóa dữ liệu: Giới thiệu các phương pháp mã hóa dữ liệu như TLS/SSL

để bảo vệ thông tin khi truyền tải trên internet

• Xác thực và ủy quyền: Đề cập đến việc sử dụng xác thực đa yếu tố (MFA), Single Sign-On (SSO), và quản lý quyền truy cập chặt chẽ

• Tường lửa và hệ thống phòng chống xâm nhập (IDS/IPS): Cách các hệ thống này giúp bảo vệ mạng nội bộ và ngăn chặn các cuộc tấn công

• Quản lý lỗ hổng bảo mật: Cách doanh nghiệp có thể phát hiện và vá lỗ hổng bảo mật trong hệ thống để ngăn chặn các cuộc tấn công

• Tuân thủ các tiêu chuẩn bảo mật: Các doanh nghiệp cần tuân thủ các quy định bảo mật như PCI DSS hoặc GDPR để đảm bảo dữ liệu thanh toán và

cá nhân của khách hàng được bảo vệ

1.5 Các tiêu chuẩn bảo mật thông tin thanh toán điện tử

Trong lĩnh vực thương mại điện tử, việc bảo mật thông tin thanh toán là cực

kỳ quan trọng Để đảm bảo an toàn cho dữ liệu nhạy cảm của người dùng, nhiều tiêu chuẩn và công nghệ bảo mật đã được phát triển Các tiêu chuẩn này không chỉ giúp bảo vệ thông tin thanh toán mà còn tạo dựng niềm tin cho khách hàng

1.5.1 PCI DSS (Payment Card Industry Data Security Standard)

PCI DSS là tiêu chuẩn bảo mật dành cho các tổ chức xử lý thẻ thanh toán Mục tiêu của PCI DSS là giảm thiểu rủi ro gian lận và bảo vệ thông tin thẻ tín dụng của người tiêu dùng Các yêu cầu của PCI DSS bao gồm:

• Bảo vệ dữ liệu thẻ tín dụng thông qua mã hóa

• Thực hiện kiểm soát truy cập để đảm bảo chỉ những người được ủy quyền mới có thể truy cập vào thông tin nhạy cảm

• Thường xuyên kiểm tra và theo dõi các hệ thống để phát hiện và ngăn chặn các hành vi gian lận

1.5.2 SSL/TLS (Secure Sockets Layer / Transport Layer Security)

SSL và TLS là các giao thức bảo mật giúp mã hóa thông tin truyền tải giữa trình duyệt và máy chủ Đảm bảo rằng thông tin như số thẻ tín dụng, địa chỉ và thông tin cá nhân không bị rò rỉ trong quá trình truyền tải SSL/TLS cung cấp:

• Mã hóa dữ liệu: Dữ liệu được mã hóa để ngăn chặn việc đọc lén

• Xác thực: Đảm bảo rằng người dùng đang kết nối với đúng máy chủ và không bị giả mạo

1.5.3 Mã hóa dữ liệu

Mã hóa dữ liệu là quá trình biến đổi thông tin nhạy cảm thành định dạng không thể đọc được, bảo vệ thông tin thanh toán trong thương mại điện tử Có hai loại mã hóa chính: mã hóa đối xứng (như AES) sử dụng cùng một khóa để mã hóa

và giải mã, và mã hóa không đối xứng (như RSA) sử dụng cặp khóa công khai và riêng tư Mã hóa đảm bảo rằng thông tin thẻ tín dụng và dữ liệu cá nhân không bị

rò rỉ trong quá trình truyền tải và lưu trữ Quản lý khóa mã hóa là yếu tố quan trọng

để bảo vệ thông tin

1.6 Kết luận chương

Chương 1 đã cung cấp cái nhìn tổng quan về quản lý chính sách và an toàn thông tin trong lĩnh vực thương mại điện tử Tầm quan trọng của an toàn thông tin, vai trò của nó trong bảo vệ hệ thống khỏi các mối đe dọa từ bên ngoài cũng như rủi ro nội bộ Các giải pháp bảo mật như mã hóa dữ liệu, tiêu chuẩn PCI DSS, và giao thức SSL/TLS được đề cập như những công cụ bảo vệ thông tin thanh toán quan trọng

CHƯƠNG 2 GIỚI THIỆU VÀ PHÂN TÍCH CÔNG CỤ

QUẢN LÝ VÀ BẢO MẬT KEYCLOAK

Qua nhiều năm, Keycloak đã được mở rộng và cải tiến với nhiều tính năng mới như xác thực đa yếu tố (MFA), hỗ trợ các giao thức bảo mật phổ biến như OAuth2 và OpenID Connect Cộng đồng phát triển mã nguồn mở cũng đã đóng góp đáng kể vào sự phát triển của Keycloak, giúp nó trở thành một trong những giải pháp quản lý định danh hàng đầu Red Hat cũng đã cung cấp hỗ trợ thương mại cho Keycloak thông qua các dịch vụ Red Hat Single Sign-On (RH-SSO)

Từ khi ra đời đến nay, Keycloak đã trở thành công cụ quản lý định danh và truy cập phổ biến, được sử dụng rộng rãi trong các dự án thương mại điện tử, tài chính, và các hệ thống quản lý lớn trên toàn thế giới

2.2 Tính năng chính của Keycloak

2.2.1 Quản lý định danh (Identity Management)

Quản lý định danh (Identity Management) là một trong những tính năng cốt lõi của Keycloak Tính năng này cho phép quản lý thông tin danh tính của người dùng trong hệ thống một cách linh hoạt và bảo mật Keycloak cho phép tạo, chỉnh sửa, xóa và quản lý tài khoản người dùng một cách dễ dàng

Hệ thống hỗ trợ các chức năng như gán vai trò (roles) và quyền hạn (permissions) cho từng người dùng hoặc nhóm người dùng Ngoài ra, Keycloak còn có khả năng tích hợp với các hệ thống quản lý danh tính bên ngoài như LDAP,

Microsoft Active Directory, hoặc các nhà cung cấp dịch vụ danh tính phổ biến như Google, Facebook, GitHub

Tính năng này giúp các tổ chức dễ dàng quản lý người dùng trong các môi trường đa ứng dụng, đảm bảo rằng chỉ những người dùng được ủy quyền mới có quyền truy cập vào các tài nguyên quan trọng, đồng thời giảm thiểu rủi ro về bảo mật

2.2.2 Xác thực người dùng (Authentication)

Xác thực người dùng (Authentication) là một trong những tính năng quan trọng nhất của Keycloak, giúp đảm bảo rằng chỉ những người dùng hợp lệ mới có thể truy cập vào hệ thống và tài nguyên của nó Keycloak hỗ trợ nhiều phương thức xác thực khác nhau, bao gồm:

• Đăng nhập bằng tên người dùng và mật khẩu: Phương thức truyền thống cho phép người dùng nhập thông tin đăng nhập để xác minh danh tính

• Xác thực qua các nhà cung cấp dịch vụ bên ngoài: Keycloak tích hợp với nhiều nhà cung cấp danh tính như Google, Facebook, và GitHub, cho phép người dùng sử dụng tài khoản hiện có để đăng nhập

• Giao thức OAuth2 và OpenID Connect: Keycloak hỗ trợ các giao thức bảo mật tiêu chuẩn này, cho phép việc xác thực và ủy quyền diễn ra một cách

an toàn và hiệu quả

• Tùy chỉnh quy trình xác thực: Keycloak cho phép tổ chức tùy chỉnh quy trình xác thực để phù hợp với nhu cầu riêng, từ việc thêm các bước xác thực

bổ sung đến việc tạo luồng xác thực phức tạp

2.2.3 Single Sign-On (SSO)

Single Sign-On (SSO) là một tính năng mạnh mẽ của Keycloak cho phép người dùng chỉ cần đăng nhập một lần để truy cập vào nhiều ứng dụng và dịch vụ khác nhau mà không cần phải nhập lại thông tin đăng nhập Tính năng này không chỉ giúp tiết kiệm thời gian cho người dùng mà còn nâng cao trải nghiệm người dùng bằng cách giảm bớt số lần họ phải thực hiện quá trình đăng nhập

Keycloak sử dụng các giao thức tiêu chuẩn như OAuth2 và OpenID Connect

để triển khai SSO, cho phép các ứng dụng khác nhau dễ dàng tích hợp và trao đổi thông tin xác thực Khi người dùng đăng nhập thành công vào một ứng dụng, Keycloak sẽ tạo ra một phiên làm việc (session) và sử dụng token xác thực để cho phép truy cập vào các ứng dụng khác mà không cần yêu cầu nhập lại thông tin đăng nhập

Điều này không chỉ giúp giảm thiểu rủi ro bảo mật từ việc quản lý nhiều mật khẩu mà còn giúp tổ chức dễ dàng quản lý và kiểm soát quyền truy cập của người dùng, đồng thời nâng cao tính linh hoạt trong việc triển khai các ứng dụng mới SSO của Keycloak làm cho việc quản lý danh tính và truy cập trở nên hiệu quả và an toàn hơn cho cả người dùng và tổ chức

2.2.4 Xác thực đa yếu tố (MFA)

Xác thực đa yếu tố (Multi-Factor Authentication - MFA) là một tính năng bảo mật quan trọng của Keycloak, giúp tăng cường mức độ bảo vệ cho tài khoản người dùng MFA yêu cầu người dùng cung cấp hai hoặc nhiều yếu tố xác thực khác nhau trước khi được cấp quyền truy cập vào hệ thống, nhằm đảm bảo rằng chỉ có những người dùng hợp lệ mới có thể đăng nhập

• Keycloak hỗ trợ nhiều phương thức xác thực khác nhau trong quá trình MFA, bao gồm:

o Mã xác thực tạm thời (OTP): Người dùng nhận được một mã số duy nhất qua tin nhắn SMS hoặc ứng dụng xác thực (như Google Authenticator) mà họ phải nhập vào hệ thống

o Câu hỏi bảo mật: Người dùng có thể được yêu cầu trả lời một hoặc nhiều câu hỏi bảo mật mà họ đã thiết lập trước đó

o Yếu tố sinh trắc học: Keycloak có thể tích hợp với các hệ thống xác thực sinh trắc học, như vân tay hoặc nhận diện khuôn mặt, để cung cấp thêm một lớp bảo mật

MFA giúp giảm thiểu rủi ro từ việc mất mật khẩu hoặc các cuộc tấn công từ