IAM: Identity and Access Management trong NFV

IAM: Identity and Access Management trong NFV

IAM là gì? Trong đoạn trích của chương 4 về bảo mật trong ảo hóa chức năng mạng, các tác giả Zonghua Zhang và Ahmed Meddahi thảo luận về Identity and Access Management trong NFV.

Sau đây là một đoạn trích từ Bảo mật trong các chức năng ảo hóa của các tác giả Zonghua Zhang và Ahmed Meddahi và được xuất bản bởi Syngress. Phần này từ chương 4 khám phá Quản lý danh tính và truy cập trong NFV.

IAM (Identity and Access Management) được chấp nhận rộng rãi như là tuyến phòng thủ đầu tiên của các cơ sở hạ tầng và dịch vụ CNTT ngày nay. Một số chức năng chính bao gồm xác thực, ủy quyền, kế toán và kiểm soát truy cập. Trong chương này, trước tiên chúng tôi trình bày các chức năng cơ bản và các triển khai cơ bản của IAM và sau đó thảo luận về các triển khai dựa trên NFV của chúng. Cuối cùng chúng tôi cung cấp một phân tích so sánh giữa hai biến thể này.

iam là gì

IAM là một chủ đề rất rộng bao gồm cả các lĩnh vực kỹ thuật và phi kỹ thuật, liên quan đến quy trình kinh doanh, công nghệ và chính sách quản lý danh tính số, giám sát truy cập mạng và kiểm soát quyền truy cập vào tài sản công ty. Nói cách khác, IAM là về cách cho phép các cá nhân thích hợp truy cập đúng tài nguyên vào đúng thời điểm vì những lý do chính đáng. Về mặt kỹ thuật, IAM được sử dụng để bắt đầu, ghi lại, ghi lại và quản lý danh tính người dùng và quyền truy cập có liên quan của họ đối với tài sản thông tin một cách tự động. Do đó, các đặc quyền truy cập được cấp cho người dùng theo cách diễn giải các quy tắc chính sách, sau đó được thực thi bởi một chuỗi các chức năng xác thực, ủy quyền và kiểm tra.

Ý nghĩa của IAM có hai yếu tố độc lập: quản lý danh tính và quản lý truy cập. Quản lý danh tính mô tả quy trình xác thực, ủy quyền và đặc quyền người dùng trên các ranh giới hệ thống, trong khi quản lý truy cập tập trung nhiều hơn vào kiểm soát truy cập để xác minh xem người dùng có được cấp đặc quyền truy cập vào các dịch vụ hoặc tài nguyên cụ thể hay không. Kết quả quyết định được đánh giá dựa trên các quy tắc chính sách, vai trò của người dùng và các yếu tố khác được xác định trước bởi các quản trị viên.

Xem thêm: Các vấn đề an ninh mạng mà các doanh nghiệp cần quan tâm để bảo vệ thông tin doanh nghiệp.

Các chức năng chính

Cụ thể hơn, khung IAM bao gồm các chức năng sau [IDE 12], được giải thích ngắn gọn như sau:

  • Xác thực: một quá trình xác định liệu thông tin đăng nhập của người dùng có xác thực hay không. Xác thực chỉ được kích hoạt khi người dùng có ý định truy cập thông tin trong hệ thống. Sau đó, người dùng được yêu cầu phải chứng minh quyền và danh tính của họ, về cơ bản thông qua tên người dùng và mật khẩu hoặc nhận dạng sinh trắc học. Hệ thống xác minh danh tính người dùng bằng cách khớp các thông tin được cung cấp với một đối tượng người dùng trừu tượng cụ thể được lưu trữ trong hệ thống. Khi hai đối tượng khớp nhau, quyền truy cập được xác thực. Cho đến nay, có một số loại xác thực đã được sử dụng rộng rãi trong ngữ cảnh ICT hiện tại như mã thông báo, khóa công khai, chứng chỉ và xác thực sinh trắc học [CLO 12, HAV 07].
  • Ủy quyền: một quy trình cho phép người dùng thực hiện một hành động với tài nguyên mà họ được cấp, tức là ngăn người dùng truy cập vào các tài nguyên mà họ không được phép truy cập [HAV 07]. Ví dụ: nếu người dùng cố gắng viết tệp chỉ có quyền đọc thì ủy quyền không thành công và thao tác được yêu cầu để ghi có thể bị từ chối. Hơn nữa, người dùng có thể được xác thực bằng cách sử dụng một danh tính nhất định nhưng họ có thể được ủy quyền để truy cập vào một tài nguyên cụ thể theo một bản sắc khác nhau. Nhiều chức năng ủy quyền được xây dựng dựa trên bốn phương pháp sau:
  • Kiểm soát truy cập tùy ý (DAC): cho phép người dùng hoặc quản trị viên xác định danh sách điều khiển truy cập (ACL) liên quan đến tài nguyên cụ thể, chẳng hạn như người dùng có thể truy cập tài nguyên và các đặc quyền nào được cấp. Một ví dụ về DAC đã được đề xuất bởi [WAN 11] để giảm thiểu sự riêng tư của người dùng và các vấn đề rò rỉ dữ liệu trong các đám mây cộng tác.
  • Kiểm soát truy cập bắt buộc (MAC): được quản trị viên xác định để quản lý kiểm soát truy cập dựa trên chính sách và không thể được người dùng sửa đổi hoặc thay đổi. Chính sách chỉ định quy tắc truy cập cho các dịch vụ / tài nguyên được yêu cầu. Một số ví dụ về MAC được sử dụng để kiểm soát truy cập từ đầu đến cuối trong các ứng dụng Web [HIC 10] và trong hệ điều hành hàng hóa để hỗ trợ phát hiện xâm nhập [SHA 11].
  • Kiểm soát truy cập dựa trên vai trò (RBAC): dựa trên việc xác định danh sách vai trò kinh doanh và quyền và đặc quyền sau đó được cấp cho từng vai trò. Một số ví dụ cụ thể liên quan đến RBAC đã được thảo luận trong [KER 03, KER 05].
  • Điều khiển truy cập dựa trên thuộc tính (ABAC): sử dụng các thuộc tính như các khối xây dựng chính sách để xác định các quy tắc kiểm soát truy cập và mô tả các yêu cầu truy cập. ABAC ủy quyền dựa trên việc đánh giá thuộc tính (người dùng), tài nguyên được nhắm mục tiêu, hành động mong muốn (đọc, viết) và kiểm soát truy cập / quy tắc chính sách để xác minh xem quyền truy cập có được cấp hay không. ABAC được sử dụng rộng rãi trong nhiều lĩnh vực khác nhau như dịch vụ ủy quyền [LEE 08], dịch vụ Web [CAP 14] và dịch vụ bảo vệ dữ liệu [IRW 05, IRW 09].
  • Kiểm toán: nó là một quá trình ghi lại các sự kiện bảo mật liên quan đến quá trình kế toán và truy xuất nguồn gốc. Nó có thể cung cấp thông tin lịch sử về thời gian và cách thức người dùng truy cập nội dung và liệu có bất kỳ nỗ lực nào vi phạm chính sách xác thực hay không. Thông tin lịch sử về trạng thái người dùng được lưu trữ trong các tệp nhật ký để phân tích thêm.
  • Quản lý người dùng: lĩnh vực quản lý người dùng trong ngữ cảnh IAM không chỉ liên quan đến quản lý người dùng mà còn bao gồm quản lý mật khẩu, quản lý vai trò và cấp phép người dùng. Quản lý người dùng là một trong những tính năng xác thực cung cấp cho quản trị viên khả năng xác định và kiểm soát trạng thái của người dùng khi đăng nhập vào hệ thống. Nó bao gồm một tập hợp các chức năng quản trị như tạo danh tính, tuyên truyền và duy trì danh tính và đặc quyền của người dùng. Điều này cho phép quản trị viên có độ chi tiết tốt hơn để kiểm soát xác thực người dùng và quản lý tuổi thọ của tài khoản người dùng thông qua quản lý vòng đời của người dùng, từ giai đoạn xác thực ban đầu đến giai đoạn cuối cùng khi người dùng đăng xuất khỏi hệ thống.

What is IAM

Ngoài ra, quản lý người dùng kết hợp kho lưu trữ người dùng trung tâm, cung cấp lưu trữ dữ liệu người dùng và cung cấp dữ liệu cho các dịch vụ khác khi được yêu cầu. Việc tổng hợp dữ liệu được lưu giữ và duy trì trong kho lưu trữ. Kho lưu trữ người dùng có thể được đặt trong mạng phân phối bao gồm nhiều cơ sở dữ liệu / tệp hoặc một khu vực cục bộ có thể truy cập trực tiếp bởi người dùng mà không phải di chuyển qua mạng. Một ví dụ về kho lưu trữ người dùng trung tâm là giao thức truy cập thư mục hạng nhẹ (LDAP) [YEO 95] là giao thức ứng dụng chuẩn công nghiệp để truy cập và duy trì thông tin thư mục phân tán qua mạng IP. Khái niệm về LDAP dựa trên cấu trúc thông tin phân cấp (một hệ thống phân cấp cây đơn giản) để xử lý một số loại thông tin được lưu trữ trong các thư mục.

Những thông tin hữu ích về IAM được chúng tôi cung cấp trong bài viết này mong rằng sẽ hữu ích đến với các bạn. Chúc các bạn may mắn.

Leave a Comment