Giải pháp quản lý tài khoản đặc quyền tập trung

Đoàn Quang Hòa

Kỹ sư triển khai Chi nhánh Hà Nội - Trung tâm tích hợp hệ thống

Thế giới công nghệ thông tin phát triển ngày càng mạnh mẽ, kèm theo với đó là sự gia tăng ngày càng nhiều các hệ thống mới, các hệ thống cũ được mở rộng. Đó chính là yếu tố dẫn đến tình trạng quản lý các tài khoản định danh đặc quyền đối với hệ thống thông tin của doanh nghiệp trở nên phức tạp hơn bao giờ hết. Các tài khoản đặc quyền và mật khẩu là yếu tố cực kỳ mạnh mẽ, cho phép các người dùng đặc quyền sử dụng để đăng nhập và có toàn quyền điều khiển hệ thống với đầy đủ thông tin nhất. Lỗ hổng này có khả năng gây ra những tổn thất lớn về tài chính và thiệt hại nặng về danh tiếng cho các doanh nghiệp. Đối với doanh nghiệp, mối đe dọa nội bộ tiềm tàng này là đặc biệt khó khăn để quản lý.

Sẽ quản lý như thế nào đối với hệ thống có hàng trăm thiết bị mạng, tường lửa, hàng nghìn các máy chủ, và chưa kể đến kéo theo với chúng là biết bao hệ điều hành, hệ quản trị cơ sở dữ liệu, các phần mềm ứng dụng? Các tài khoản đặc quyền được truy cập vào từng thành phần trong hệ thống đó sẽ được cấp phát và lưu trữ ra sao? Và tất nhiên, làm thế nào để những tài khoản đặc quyền đó được bảo mật một cách mạnh mẽ nhất?

Tài khoản được lưu trữ

Ví dụ

Số lượng tài khoản

Nguy cơ bảo mật

Giải pháp

Các máy tính cá nhân

Login:

Administrator

5000 hoặc nhiều hơn 40% các doanh nghiệp có nhiều hơn 5000 tài khoản

21% các tài khoản quản trị trên máy trạm không bao giờ được thay đổi

Thay đổi tài khoản đặc quyền thủ công

Máy chủ

Unix (Root),

Linux (Root)

5000 hoặc nhiều hơn 44% các doanh nghiệp có nhiều hơn 500 máy chủ, với 1 đến 5 tài khoản quản trị đặc quyền trên mỗi máy chủ

13% các tài khoản quản trị trên các máy chủ không bao giờ được thay đổi

Thay đổi tài khoản đặc quyền thủ công

Thiết bị mạng

Cisco (Enable)

100 hoặc nhiều hơn 41% các doanh nghiệp có nhiều hơn 500 thiết bị, với 1 đến 5 tài khoản quản trị trên mỗi thiết bị

13% các tài khoản quản trị trên các thiết bị không bao giờ được thay đổi

Thay đổi tài khoản đặc quyền thủ công

Cơ sở dữ liệu

Oracle (System, Sys)

Microsoft SQL Server (SA)

Hàng trăm 66% các doanh nghiệp báo cáo có nhiều hơn 100 các ứng dụng đơn lẻ, bao gồm các hệ quản trị cơ sở dữ liệu

42% các tài khoản quản trị trên các phần mềm và cơ sở dữ liệu không bao giờ được thay đổi

Thay đổi tài khoản đặc quyền thủ công

Scripts kết nối tới các phần mềm ứng dụng

Ứng dụng theo dõi kinh doanh kết nối tới cơ sở dữ liệu

Các doanh nghiệp báo cáo có nhiều hơn 100 ứng dụng, với 92% được liên kết với ít nhất một ứng dụng khác. Mỗi liên kết yêu cầu một tài khoản ngẫu nhiên

42% các tài khoản của ứng dụng và cơ sở dữ liệu không bao giờ được thay đổi

Thay đổi tài khoản đặc quyền thủ công

Trên đây là khảo sát liên quan đến các thống kê quan trọng về tài khoản đặc quyền và mức độ nhạy cảm của nó với một doanh nghiệp. Vậy, nên chăng phải có một hệ thống quản lý các tài khoản định danh đặc quyền tập trung cho toàn bộ hệ thống công nghệ thông tin của doanh nghiệp!

Privileged Identity Management (PIM) Suite của Cyber-Ark là một giải pháp doanh nghiệp, dựa trên chính sách thống nhất, bảo mật, quản lý chặt chẽ các bản ghi tất cả các tài khoản đặc quyền và các hoạt động liên quan đến quản lý trung tâm dữ liệu. Các tính năng nổi bật phải kể đến:

+  Kiểm soát truy cập với các tài khoản định danh đặc quyền.

+  Quản lý ứng dụng và các dịch vụ công nghệ thông tin.

+  Cấp quyền thực thi đối với các lệnh của người dùng cấp cao.

+  Thực hiện giám sát các yêu cầu quy định của doanh nghiệp.

+  Hợp lý hóa quản lý chính sách của các tài khoản đặc quyền.

+  Tích hợp dễ dàng với hệ thống công nghệ thông tin của doanh nghiệp.

Được kết hợp giữa 3 thành phần chính:

+  Enterprise Password Vault

+  Application Identity Manager

+  On-demand Privileges Manager

Chính sự kết hợp cực kỳ chặt chẽ và bảo mật đó, giải pháp quản lý tài khoản đặc quyền PIM Suite của Cyber-Ark mang lại cho doanh nghiệp các lợi ích không thể phủ nhận:

+  Hướng tiếp cận mang tính tuân thủ và bảo mật cao: an ninh tuyệt đối với khả năng bảo vệ “chìa khóa CNTT của doanh nghiệp” với khả năng đã được kiểm chứng để đáp ứng các yêu cầu quy định.

+  Loại bỏ các mối đe dọa từ bên trong: xác định và thực thi một chính sách tổng thể đối với việc quản lý định danh đặc quyền trên toàn bộ hệ thống trung tâm dữ liệu của doanh nghiệp, kể cả trong môi trường điện toán đám mây.

+  Thúc đẩy kinh doanh tốt hơn: cải thiện năng suất, năng lực công việc với một hệ thống truy cập duy nhất để xử lý toàn bộ các định danh đặc quyền trên hệ thống.

PIM Suite cho phép các tổ chức quản lý, theo dõi và giám sát hầu hết các định danh của họ, ngăn chặn các sự đe dọa từ bên trong, và chặn mất mát thông tin nhạy cảm. Giải pháp được bổ sung thêm Privileged Session Management (PSM) Suite, được thiết kế để cô lập, bảo vệ và giám sát tất cả các hệ thống nhạy cảm trong trung tâm dữ liệu của doanh nghiệp bao gồm máy chủ, thiết bị mạng, tường lửa, cơ sở dữ liệu và các ứng dụng. Cho phép ghi lại tất cả các phiên làm việc đặc quyền trên toàn bộ hệ thống để kiểm soát tốt hơn, điều khiển và giám sát sác tiến trình mượt mà hơn, hiệu quả hơn.

Trên thực tế, giải pháp PIM Suite của Cyber-Ark đã được HPT Việt Nam triển khai thành công cho khách hàng VietinBank – một trong những ngân hàng lớn nhất Việt Nam. Cyber-Ark PIM Suite đã quản lý tập trung thành công toàn bộ tài khoản định danh đặc quyền trên hệ thống Data Center site và Disaster Recovery site của VietinBank. Trong thời gian gần nhất, hi vọng HPT Việt Nam sẽ giới thiệu và triển khai tới tất cả các khách hàng – giải pháp quản lý tài khoản đặc quyền tập trung, nhằm mang đến sự bảo mật và tập trung hóa tất cả các tài khoản quản trị của toàn bộ hệ thống. Đạt mục tiêu “Đơn giản trong thực thi và hiệu quả trong quản trị”.

Đoàn Quang Hòa

P. Triển khai – Trung tâm HSI CNHN