Luận văn: Nghiên cứu về kiểm soát truy cập theo vai trò (RBAC) và thuộc tính (ABAC)

Tìm hiểu sâu về kiểm soát truy cập RBAC và ABAC. So sánh chi tiết, phân tích ưu nhược điểm và mô hình ứng dụng trong bảo mật hệ thống doanh nghiệp.

Người đăng

Ẩn danh

Thể loại

Luận văn thạc sĩ

2021

69
2
0

Phí lưu trữ

30 Point

Tóm tắt

I. Kiểm soát truy cập RBAC Khái niệm và ứng dụng

RBAC (Role-Based Access Control) hay kiểm soát truy cập dựa trên vai trò là một phương pháp quản lý quyền truy cập phổ biến trong các tổ chức hiện đại. Theo mô hình RBAC của NIST, hệ thống được xây dựng dựa trên ba thành phần chính: người dùng, vai trò và quyền hạn. Mỗi người dùng được gán một hoặc nhiều vai trò, và mỗi vai trò sẽ có các quyền hạn tương ứng để thực hiện các tác vụ nhất định. Phương pháp này giúp đơn giản hóa quản lý quyền hạn, đặc biệt trong các môi trường có nhiều người dùng và tài nguyên phức tạp.

1.1. Mô hình RBAC theo NIST

Mô hình RBAC NIST định nghĩa cấu trúc gồm người dùng (User), vai trò (Role), phiên (Session) và quyền (Permission). Mỗi người dùng được gán vào vai trò phù hợp với công việc của họ. Các vai trò có thể được sắp xếp theo cấp bậc, từ đó cho phép kế thừa quyền hạn. Cấu trúc này giúp giảm độ phức tạp trong quản lý hàng trăm hoặc hàng nghìn người dùng.

1.2. Ứng dụng RBAC trong thực tế

RBAC được áp dụng rộng rãi trong các hệ thống VPN, firewall và quản lý tài nguyên mạng. Ví dụ như triển khai Remote Access VPN trên thiết bị firewall Check Point, RBAC cho phép quản trị viên định nghĩa các nhóm người dùng và phân quyền truy cập dựa trên vai trò công việc của họ, đảm bảo bảo mật và hiệu quả hoạt động.

II. Kiểm soát truy cập ABAC Mô hình tiên tiến

ABAC (Attribute-Based Access Control) hay kiểm soát truy cập dựa trên thuộc tính là một phương pháp quản lý quyền truy cập mạnh mẽ và linh hoạt hơn RBAC. Thay vì chỉ dựa trên vai trò, ABAC sử dụng các thuộc tính của người dùng, tài nguyên, môi trường và hành động để quyết định cấp quyền truy cập. Các thuộc tính này có thể bao gồm: thời gian, địa điểm, loại thiết bị, bộ phận công ty, cấp độ bảo mật và nhiều yếu tố khác. Phương pháp này cung cấp mức độ kiểm soát chi tiết cao hơn và phù hợp với các tổ chức lớn có nhu cầu bảo mật phức tạp.

2.1. Lợi ích của phương pháp ABAC

ABAC mang lại nhiều lợi ích vượt trội so với các phương pháp truyền thống. Nó cho phép tạo các chính sách truy cập chi tiết và linh hoạt, dễ dàng thích ứng với những thay đổi trong tổ chức mà không cần thay đổi cấu trúc vai trò. ABAC hỗ trợ kiểm soát truy cập có điều kiện, chẳng hạn như chỉ cho phép truy cập vào các giờ cụ thể hoặc từ các địa điểm được phép.

2.2. Mô hình ABAC trong doanh nghiệp

Mô hình ABAC NIST trong doanh nghiệp xác định các thuộc tính cần thiết cho quá trình ra quyết định. Tuy nhiên, ABAC còn ít được triển khai rộng rãi tại Việt Nam do độ phức tạp cao và yêu cầu đầu tư kinh phí lớn cho cơ sở hạ tầng và đào tạo nhân sự.

III. So sánh chi tiết giữa RBAC và ABAC

So sánh RBAC và ABAC giúp chúng ta hiểu rõ ưu và nhược điểm của từng phương pháp. RBAC đơn giản hơn trong triển khai, dễ quản lý đối với các tổ chức nhỏ và vừa, nhưng lại hạn chế trong việc biểu diễn các chính sách truy cập phức tạp. ABAC cung cấp tính linh hoạt cao hơn, cho phép tạo các quy tắc truy cập tinh vi dựa trên nhiều thuộc tính khác nhau, nhưng đòi hỏi đầu tư nhiều hơn và quản lý phức tạp hơn.

3.1. Truy cập dựa trên vai trò so với dựa trên thuộc tính

RBAC sử dụng vai trò làm yếu tố chính để quyết định quyền truy cập, trong khi ABAC xét xét đến nhiều thuộc tính như ngày giờ, địa điểm, loại thiết bị. RBAC thích hợp cho các tổ chức có cấu trúc rõ ràng, còn ABAC phù hợp với các môi trường yêu cầu kiểm soát chi tiết cao.

3.2. Mối quan hệ và khả năng kết hợp

ABAC được coi là sự phát triển và mở rộng của RBAC, chứ không phải là thay thế hoàn toàn. Nhiều tổ chức sử dụng một sự kết hợp giữa RBACABAC để tối ưu hóa bảo mật và hiệu quả hoạt động, gọi là mô hình RBAC-ABAC lai ghép.

IV. Hướng dẫn triển khai RBAC trong môi trường thực tế

Triển khai RBAC trong môi trường thực tế đòi hỏi quy trình kỹ lưỡng và có kế hoạch. Ví dụ điển hình là triển khai Remote Access VPN trên thiết bị firewall Check Point tại các công ty tài chính. Quá trình bao gồm: tạo Gateway, quản lý người dùng, định nghĩa User Group, tạo VPN Community, phân quyền truy cập và cấu hình Policy. Mỗi bước yêu cầu hiểu rõ nhu cầu kinh doanh và yêu cầu bảo mật của tổ chức.

4.1. Quy trình triển khai từng bước

Triển khai RBAC bắt đầu bằng việc xác định các vai trò cần thiết trong tổ chức. Tiếp theo, tạo User Group tương ứng với từng vai trò, sau đó gán người dùng vào các nhóm. Bước quan trọng là định nghĩa quyền hạn cho mỗi vai trò, đảm bảo nguyên tắc least privilege. Cuối cùng, thực hiện kiểm thử toàn diện để xác nhận chính sách hoạt động đúng.

4.2. Kiểm thử và đánh giá hiệu quả

Kiểm thử RBAC cần bao gồm các scenario thực tế: người dùng với tài khoản LDAP, người dùng thuộc nhóm Công nghệ Ngân hàng, người dùng thuộc nhóm Hạ tầng và An toàn thông tin. Mỗi nhóm cần kiểm tra khả năng truy cập đúng tài nguyên được phân quyền. Đánh giá hiệu quả dựa trên mức độ bảo mật đạt được và sự hài lòng của người dùng.

22/12/2025

Trích đoạn nội dung tài liệu

Đặt vấn đề Khi số lượng người sử dụng hệ thống thông tin ngày càng nhiều trong các doanh nghiệp, việc kiểm soát quyền truy cập vào các tài nguyên sử dụng các chính sách bảo mật ngày càng gặp thách thức lớn. Các nhà nghiên cứu và phát triển hệ thống đã đơn giản hóa quy trình quản trị bằng cách sử dụng các nhóm người dùng có cùng quyền truy cập. Nhóm người dùng chính là tiền thân của mô hình điều khiển truy cập dựa trên vai trò (RBAC). Mô hình RBAC nhóm các quyền truy cập thành các vai trò và yêu cầu tất cả các quyền truy cập phải thực hiện thông qua hệ thống RBAC.

Sau đó, người dùng có thể được cấp các nhóm quyền một cách dễ dàng thông qua thao tác đơn giản là chỉ định vai trò. Các vai trò của doanh nghiệp phải được thiết kế giúp hỗ trợ bảo mật và các quy tắc kinh doanh. Theo thời gian, các doanh nghiệp nhận thấy nhu cầu ngoài các nhóm người dùng và quyền truy cập RBAC. Họ cần các thuộc tính như thời gian trong ngày và vị trí của người dùng cho các hệ thống phân phối, thay đổi động.

Trong thời kỳ này, việc điều khiển truy cập dựa trên thuộc tính (ABAC) được xem là một sự thay thế hoặc bổ trợ cho RBAC. Mô hình ABAC sử dụng các đối tượng được gắn nhãn và thuộc tính người dùng thay vì quyền truy cập để kiểm soát việc truy cập một cách linh hoạt. Có ý kiến cho rằng mô hình ABAC có thể mang đến sự linh hoạt cần thiết trong kiểm soát truy cập và, nếu muốn, mô hình RBAC có thể cùng tồn tại với ABAC chỉ đơn giản bằng cách coi một vai trò như một thuộc tính khác. Vì ABAC không sử dụng các vai trò với quyền truy cập, nên không cần phải thiết kế các vai trò với quyền truy cập.

Các nhà nghiên cứu về mô hình RBAC đã đưa ra một số phương án cung cấp thành phần thuộc tính này — ví dụ như sử dụng các vai trò ràng buộc.2 Tìm hiểu về về kiểm soát truy cập [11] Access Control (AC) hay kiểm soát truy cập, được chia thành 2 thành phần là Access và Control. Access được biết đến như việc truy cập các tài nguyên của một chủ thể (Subject) tới một đối tượng (Object), Control được biết đến là hành 1 động cho phép hoặc không cho phép truy cập, cũng như các phương thức áp dụng cho Access Control. Một chủ thể (Subject) có thể là Users, Program, Service… và đối tượng (Object) có thể là File, Database, hoặc một Services nào đó. Việc xác định chủ thể để cấp cho quyền hạn truy cập vào đối tượng là công việc của yếu của Access Control.

Áp dụng Access Control vào trong cuộc sống rất nhiều và cũng có rất nhiều mô hình dựng nên cho Access Control này. Xem xét một số ví dụ về Access Control, khóa cửa là một cách áp dụng Access Control vì chỉ có người có chìa khóa (Subject) mới có thể mở khóa và sử dụng phòng (Object). Ở ví dụ này, người là chủ thể, khóa và chìa khóa là phương thức áp dụng, còn phòng là đối tượng. Việc xác định chủ thể (Subject) thường được biết đến với cái tên là Indenfify, có nhiều cách để định danh, nhận diện, giữa các chương trình với nhau có thể sử dụng các PID (Process ID), cũng có thể dựa trên Username, hoặc một Biometric như giọng nói, vân tay… Việc này không khó, và dĩ nhiên để đảm bảo chính xác là người đó thì cần phải kiểm chứng thông qua một vài điều bí mật mà chỉ có người đó mới biết, chẳng hạn như Password, PIN, Token, hoặc là Biometric (Fingerprint), và lần này sẽ dùng những thông tin đó cùng với thuật toán, cách thức xử lý để đối chiếu thông tin và “thẩm định” có đúng người đó hay không.

Quá trình này gọi là Authentication, tức là chứng thực; chứng thực có thể chỉ sử dụng một lần hoặc nhiều lần tùy thuộc chính sách và cũng có thể có nhiều phương pháp, cách thức khác nhau. Việc lựa chọn phương pháp kiểm soát truy cập tùy thuộc vào nhu cầu của tổ chức và độ nhạy cảm của dữ liệu cần bảo mật. Sau đây là một số phương pháp quản lý truy cập phổ biến. MAC/DAC Một ứng dụng ban đầu của kiểm soát truy cập logic đã được áp dụng trong các ứng dụng của Bộ Quốc phòng (DoD – Department of Defense) vào những năm 1960 và 1970 với sự xuất hiện của các khái niệm Kiểm soát truy cập tùy ý (DAC) và Kiểm soát truy cập bắt buộc (MAC).

2 - Quản lý truy cập tùy quyền (DAC) do người dùng quản lý - tức là tên người dùng và mật khẩu do họ tự đặt. Với phương pháp này, người dùng có thể chia sẻ mật khẩu của mình với người khác. - Kiểm soát truy cập bắt buộc (MAC): tất cả các truy cập đều do hệ thống thiết lập. Phương pháp này tốn nhiều công sức hơn vì chúng ta phải phân loại dữ liệu của mình và người dùng phải có quyền truy cập dữ liệu.

Không giống như mật khẩu, họ không thể dễ dàng cung cấp thông tin cho người khác. IBAC/ACL Khi mạng phát triển, nhu cầu giới hạn quyền truy cập vào các đối tượng được bảo vệ cụ thể đã thúc đẩy sự phát triển của khả năng kiểm soát truy cập dựa trên danh tính (IBAC). IBAC sử dụng các cơ chế như danh sách kiểm soát truy cập (ACL) để nắm bắt danh tính của những người được phép truy cập đối tượng. Nếu một chủ thể trình bày thông tin xác thực phù hợp với thông tin được giữ trong ACL, chủ thể được cấp quyền truy cập vào đối tượng.

Các đặc quyền cá nhân của chủ thể để thực hiện các thao tác (đọc, ghi, sửa, xóa, v.) được chủ sở hữu đối tượng quản lý trên cơ sở cá nhân. Mỗi đối tượng cần ACL riêng và tập hợp các đặc quyền được chỉ định cho từng đối tượng. Trong mô hình IBAC, các quyết định ủy quyền được đưa ra trước bất kỳ yêu cầu truy cập cụ thể nào và dẫn đến việc chủ thể được thêm vào ACL. Đối với mỗi chủ thể được đặt trên ACL, chủ sở hữu đối tượng phải đánh giá các thuộc tính nhận dạng, đối tượng và ngữ cảnh dựa trên chính sách chi phối đối tượng và quyết định có thêm chủ thể vào ACL hay không.

Quyết định này là tĩnh và cần có quy trình thông báo để chủ sở hữu đánh giá lại và có thể xóa chủ thể khỏi ACL để đại diện cho chủ thể, đối tượng hoặc các thay đổi theo ngữ cảnh. Việc không xóa hoặc thu hồi quyền truy cập theo thời gian dẫn đến việc người dùng tích lũy các đặc quyền. RBAC Mô hình Điều khiển Truy cập Dựa trên Vai trò (RBAC) sử dụng các vai trò được xác định trước mang một tập hợp các đặc quyền cụ thể được liên kết với chúng và các đối tượng được chỉ định. Ví dụ: một chủ thể được giao vai trò Người quản lý sẽ có quyền truy cập vào một nhóm đối tượng khác với người được giao vai trò Người phân tích.

Trong mô hình này, quyền truy cập được xác định trước 3 một cách ngầm định bởi người chỉ định vai trò cho từng cá nhân và rõ ràng bởi chủ sở hữu đối tượng khi xác định đặc quyền liên quan đến từng vai trò. Tại điểm yêu cầu truy cập, cơ chế kiểm soát truy cập đánh giá vai trò được chỉ định cho chủ thể yêu cầu quyền truy cập và tập hợp các hoạt động mà vai trò này được ủy quyền thực hiện trên đối tượng trước khi hiển thị và thực thi quyết định truy cập. Lưu ý rằng một vai trò có thể được xem như một thuộc tính chủ thể được đánh giá bởi cơ chế kiểm soát truy cập và xung quanh chính sách truy cập đối tượng được tạo ra. Khi đặc điểm kỹ thuật RBAC trở nên phổ biến, nó giúp quản lý trung tâm các khả năng kiểm soát truy cập của doanh nghiệp và giảm nhu cầu về ACL.

ABAC ACL và RBAC trong một số trường hợp đặc biệt của ABAC về các thuộc tính được sử dụng. ACL hoạt động dựa trên thuộc tính "nhận dạng". RBAC hoạt động dựa trên thuộc tính "vai trò". Sự khác biệt chính với ABAC là khái niệm về các chính sách thể hiện một bộ quy tắc Boolean phức tạp có thể đánh giá nhiều thuộc tính khác nhau.

Mặc dù có thể đạt được các mục tiêu ABAC bằng cách sử dụng ACL hoặc RBAC, việc chứng minh tuân thủ các yêu cầu AC (Kiểm soát truy cập) là rất khó và tốn kém do mức độ trừu tượng cần thiết giữa các yêu cầu AC và mô hình ACL hoặc RBAC. Một vấn đề khác với các mô hình ACL hoặc RBAC là nếu yêu cầu AC được thay đổi, có thể khó xác định tất cả các vị trí mà việc triển khai ACL hoặc RBAC cần được cập nhật. Một ví dụ về khung kiểm soát truy cập phù hợp với ABAC là Ngôn ngữ đánh dấu kiểm soát truy cập mở rộng (XACML) [XACML]. Mô hình XACML sử dụng các yếu tố như quy tắc, chính sách, thuật toán kết hợp quy tắc và chính sách, thuộc tính (chủ thể, đối tượng (nguồn), điều kiện hành động và môi trường), nghĩa vụ và lời khuyên.

Kiến trúc tham chiếu của nó bao gồm các chức năng như Điểm quyết định chính sách (PDPs – Policy Descision Points), Điểm thực thi chính sách (PEPs – Policy Enforment Points), Điểm quản trị chính sách (PAPs - Policy Administration Points) và Điểm thông tin chính sách (PIPs – Policy Information Points) để kiểm soát quyền truy cập. 4 Nói chung, ABAC tránh yêu cầu các khả năng (cặp hoạt động / đối tượng) phải được chỉ định trực tiếp cho người yêu cầu chủ thể hoặc cho vai trò hoặc nhóm của họ trước khi yêu cầu được thực hiện. Thay vào đó, khi một chủ thể yêu cầu quyền truy cập, công cụ ABAC có thể đưa ra quyết định kiểm soát truy cập dựa trên các thuộc tính được chỉ định của người yêu cầu, các thuộc tính được chỉ định của đối tượng, điều kiện môi trường và một bộ chính sách được chỉ định theo các thuộc tính đó và điều kiện. Theo sự sắp xếp này, các chính sách có thể được tạo và quản lý mà không cần tham chiếu trực tiếp đến nhiều người dùng và đối tượng tiềm năng, người dùng và đối tượng có thể được cấp phép mà không cần tham chiếu đến chính sách.

TÌM HIỂU KIỂM SOÁT TRUY CẬP DỰA TRÊN VAI TRÒ VÀ KIỂM SOÁT TRUY CẬP DỰA TRÊN THUỘC TÍNH 2.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ