Trong điều kiện kinh tế suy thoái, các doanh nghiệp thường phải cắt giảm chi phí về an toàn thông tin thì gói ứng dụng quản trị định danh và truy cập (identity and access management - IAM) đang trở thành yếu tố cần thiết. Quản trị định danh và truy cập trong bảo mật thông tin giúp quản lý và kiểm soát truy cập hệ thống thông tin một cách hiệu quả. Điều đó vừa đảm bảo an toàn thông tin vừa nâng cao năng suất lao động của doanh nghiệp.
Các hệ thống quản trị định danh (Identity Management) hiện nay. Đây là một bộ phận không thể tách rời của hạ tầng công nghệ thông tin và hiện vẫn đang được các doanh nghiệp tiếp tục triển khai.
Những công nghệ mới quản trị định danh và truy cập trong bảo mật thông tin
• Quản trị tài khoản cao cấp (Privileged account management) là một sản phẩm mới đang được phổ biến rất nhanh, bổ sung cho những hạn chế của hệ thống dự liệu trong việc quản trị các tài khoản quản trị dùng chung, các tài khoản truy xuất hệ thống được “nhúng” trong các phần mềm. Các tài khoản quản trị dùng chung như root trên Unix được phân quyền hạn lớn và không thể xoá khỏi hệ thống nên rất khó kiểm soát và quy trách nhiệm khi có sự cố. Một nhiệm vụ phức tạp hơn mà không phải phần mềm quản trị tài khoản cao cấp nào cũng thực hiện được là quản lý các tài khoản trong các phần mềm. Những tài khoản này xuất hiện rất nhiều trong quá trình tác nghiệp như:
-Các script (shell hoặc Perl) khởi động/ shutdown cơ sở dữ liệu, các server ứng dụng và dịch vụ của Windows, đó là chưa kể đến nhiều ứng dụng kinh doanh thông thường sử dụng tài khoản để truy cập cơ sở dữ liệu
- Tất cả những ứng dụng đó đều lưu trữ mật khẩu ngay trong máy để sử dụng. Việc nhúng mật khẩu trong phần mềm/các tệp cấu hình rất nguy hiểm về góc độ bảo mật vì bất kỳ ai có quyền truy cập chúng đều có thể đánh cắp mật khẩu để thực hiện những việc không được phép. Mặc dù mật khẩu mà các dịch vụ của Windows sử dụng do hệ thống sinh ngẫu nhiên và được mã hoá nhưng chúng cũng yếu không kém các mật khẩu nhúng khác, chúng hầu như không thay đổi, trong khi người quản trị có thể thay đổi những mật khẩu nhúng khác mỗi năm một lần.
- Vi phạm nghiêm trọng quy định về việc thay đổi mật khẩu định kỳ. Các phần mềm quản trị tài khoản cao cấp giải quyết những khó khăn trên bằng hai phương pháp truy xuất (check-out) mật khẩu là tương tác và thông qua lập trình. Với phương pháp tương tác, nhân viên quản trị sẽ đăng nhập vào hệ thống quản trị tài khoản cao cấp qua giao diện web và nhận được mật khẩu sử dụng một lần để truy cập Windows Terminal Services, Secure Shell, telnet hay SQL. Khi hết thời gian cho phép, hệ thống quản trị tài khoản cao cấp sẽ đổi mật khẩu thành một giá trị khác do nó sinh ra. Các sản phẩm quản trị tài khoản cao cấp quản lý mật khẩu tập trung và cung cấp giao diện lập trình để các ứng dụng kết nối, nhận mật khẩu truy cập trong quá trình thực thi. Cách đơn giản nhất để truy xuất mật khẩu được quản lý tập trung là sử dụng một Secure Shell client. Đối với những trường hợp khác có thể cần cài đặt middleware và việc chỉnh sửa chương trình ứng dụng sẽ tương đối tốn công sức. Với các server ứng dụng (những phần mềm người dùng không thể chỉnh sửa) cần đọc mật khẩu chứa trong các tệp cấu hình, vấn đề còn khó hơn gấp bội vì phần mềm quản lý tài khoản cao cấp không thể biết được khi nào các tệp cấu hình sẽ được truy xuất. Một số nhà cung cấp giải pháp xử lý vấn đề này bằng cách xây dựng các môđun đặc biệt dành cho từng server ứng dụng.
• Quản trị phân quyền (entitlement management) đem lại khả năng cấp phép mạnh hơn với tính năng phối hợp (interoperability) giữa các hệ thống thông qua eXtensible Access ControlMarkup Language (XACML) . Điều này cho phép doanh nghiệp phát huy hiệu quả đầu tư bằng cách xây dựng/sử dụng các thành phần có thể làm việc được với nhiều sản phẩm quản trị phân quyền khác nhau. Nếu trước đây doanh nghiệp thường phải tự xây dựng các cấu phần đó thì hiện nay các nhà cung cấp đã có sẵn các plug-in cho các server ứng dụng như IBM WebSphere và các sản phẩm trên Microsoft Windows (kể cả SharePoint).
• AD bridge là các sản phẩm mở rộng khả năng xác thực, cấp phép và quản trị định danh từ hệ thống Active Directory sang các nền tảng khác ngoài Windows, như UNIX, Linux và Mac OS. Với AD bridge, doanh nghiệp có thể quản trị định danh và cấp phép tập trung các nền tảng khác bằng Active Directory. Thêm vào đó, những người dùng của các hệ thống ngoài Windows có thể xác thực thông qua Active Directory và đem lại khả năng đăng nhập một lần (SSO) giữa nhiều hệ thống khác nhau. AD bridge đang ngày càng phổ biến vì chúng giúp các doanh nghiệp tận dụng chi phí đầu tư cho Active Directory để cung cấp thêm dịch vụ bảo mật cho các nền tảng khác cũng như đơn giản hoá quá trình kiểm toán hệ thống.
• Các sản phẩm đăng nhập một lần (SSO) mức doanh nghiệp đang trở nên hoàn thiện, ít phải tuỳ biến nên dễ triển khai hơn. Xu hướng mới hiện nay là tích hợp giữa hệ thống SSO và các ứng dụng ở mức giao dịch. Một ví dụ của việc này là phần mềm quản lý khám bệnh ở các cơ sở y tế truy xuất đến ứng dụng SSO để xác thực và kiểm tra lại quyền của bác sỹ trước khi cho phép ghi đơn thuốc.Một số vấn đề cần quan tâm khi lựa chọn/triển khai hệ thống IAM.Tích hợp luôn là vấn đề quan trọng đối với các hệ thống công nghệ nhưng riêng với hệ thống IAM, vai trò của yếu tố này phải được coi là hết sức quan trọng. Các hệ thống dữ liệu không thể triển khai được nếu không thích hợp với các hệ thống và ứng dụng của doanh nghiệp. Việc kết hợp các sản phẩm riêng lẻ sẽ đem lại hiệu quả cao khi triển khai hệ thống quản lý định danh. Chẳng hạn như việc kết hợp hệ thống dữ liệu với hệ thống đăng nhập một lần và hệ thống xác thực mạnh sẽ nâng cao khả năng bảo mật; các sản phẩm WAM và federation cần kết hợp để đem lại gói bảo mật tổng thể cho các ứng dụng web của phần mềm ảo hóa. Để triển khai hệ thống IAM, chúng ta không nhất thiết phải mua theo kiểu trọn gói (mua cả bộ sản phẩm của một nhà cung cấp), mặc dù mua trọn gói có thể làm giảm chi phí và tăng khả năng tích hợp, nhưng điều này không phải lúc nào cũng đúng. Nhiều công ty lớn cũng tạo nên bộ sản phẩm của mình từ các sản phẩm mua lại của các công ty nhỏ, vì vậy khả năng cộng tác của “tổ hợp” đó chưa chắc đã cao hơn khả năng cộng tác giữa các sản phẩm riêng biệt. Mặt khác, sự phổ biến và trưởng thành của các hệ thống IAM một phần là nhờ tính chuẩn hóa (sử dụng các tiêu chuẩn mở) của chúng. Hơn nữa, một số sản phẩm của các công ty nhỏ lại có được công nghệ/giải pháp mới mà các công ty lớn chưa có được – mà đó lại có thể là tính năng đặc biệt cần thiết cho môi trường ứng dụng riêng biệt của công ty.
• Quản trị thông tin an ninh (SIM) thường không được coi là một công nghệ quản trị định danh nhưng gần đây nó được nhiều doanh nghiệp sử dụng để bổ trợ cho các dự án quản trị định danh. Ngoài việc quản trị các sự cố, hệ thống SIM còn được dùng để hỗ trợ quá trình xác thực/cấp phép, đánh giá việc truy cập của người dùng trong một thời gian nhất định để rà soát an ninh của ứng dụng, đảm bảo tuân thủ các quy định bảo mật.
• Dịch vụ thư mục ảo (Virtual directories) đảm bảo cung cấp thông tin về người dùng và chính sách cho các ứng dụng cần sử dụng từ nhiều nguồn khác nhau như các cơ sở dữ liệu, các dịch vụ thư mục LDAP, Active Directory và cả mainframe mà không cần triển khai một kho dữ liệu tập trung – điều rất khó khăn và tốn kém trong môi trường phân tán. Trước đây, khách hàng chủ yếu của dịch vụ thư mục là các hệ thống WAM. Ngày nay, các doanh nghiệp đã triển khai virtual directories cho các ứng dụng khác như entitlement management, federation và enterprise single sign-on.