Lượt xem: 4429 | Gửi lúc: 17/11/2012 15:02:34
Bookmark and Share

Privileged Identity Management (PIM) - Giải pháp quản lý mật khẩu đặc quyền cho tổ chức

Một hạ tầng công nghệ thông tin cơ bản của tổ chức bao gồm nhiều thành phần khác nhau như: Máy chủ, tường lửa, CSDL, các thiết bị mạng,... Tất cả các thành phần này được kiểm soát, điều khiển bằng cách sử dụng một loạt các tài khoản đặc quyền (tài khoản root của máy chủ UNIX, tài khoản DBA của hệ thống CSDL Oracle, tài khoản Administrator của máy chủ Windows,...)

Các tài khoản đặc quyền này có quyền truy cập đầy đủ vào tài nguyên của các hệ thống tương ứng. Thông thường có hàng trăm, thậm chí hàng ngàn các tài khoản này tồn tại trong doanh nghiệp, tổ chức. Việc quản lý tất cả các tài khoản này rất phức tạp, khó khăn và gây ra các lỗi trong quản lý mật khẩu đặc quyền. Điều này cũng tạo ra các lỗ hổng bảo mật và là một trong những lý do chính kéo dài quá trình khôi phục hệ thống do lỗi từ người quản trị IT. Việc không thể có được mật khẩu đặc quyền hỗ trợ sẽ khiến người quản trị mất hàng giờ đồng hồ để có thể khôi phục hệ thống khi hệ thống gặp sự cố. Các nguyên nhân thường thấy trong lỗi quản lý mật khẩu đặc quyền là:
- Mật khẩu không được thay đổi hoặc rất lâu mới được thay đổi; Lộ mật khẩu cho người khác;
- Sử dụng cùng một mật khẩu cho nhiều hệ thống;
- Mật khẩu quá đơn giản (ngày sinh, tên tuổi,...); Mật khẩu đặc quyền bị phơi bày và lộ mật khẩu của service account, script, ứng dụng phát triển.
Việc triển khai giải pháp PIM của Cyber- Ark đem lại các lợi ích sau:
- Các mật khẩu đặc quyền phải được lưu trữ dưới dạng mã hóa AES- 256 và SHA1 theo chuẩn mã hóa FIPS 140- 2.
- Quản lý mật khẩu đặc quyền tập trung qua giao diện Web.
- Tự động quét các thành phần hệ thống. Khi có thành phần mất kết nối đến Vault, hệ thống sẽ thông báo đến quản trị viên qua email hoặc SNMP.
- Có chức năng kiểm soát kép trong việc xin cấp và phê duyệt mật khẩu đặc quyền.
- Quản trị viên đã có thể theo dõi theo thời gian thực các hành động của người dùng khi truy cập vào máy chủ, thiết bị, cơ sở dữ liệu.
-  Có khả năng tự động thay đổi mật khẩu đặc quyền theo chính sách đặt ra của các hệ thống sau: Hệ điều hành, Hệ quản trị cơ sở dữ liệu, thiết bị mạng, thiết bị an ninh, ứng dụng tự viết hay hệ thống ảo hóa (Virtualization).
- Hỗ trợ nhiều phương thức xác thực khi đăng nhập vào hệ thống:Username/Password, RADIUS, PKI, Windows based Authentication, RSA SecurID...

Vũ Hữu Đức