Identity & Access Management: Quản lý danh tính và truy cập

Tại sao mọi người vẫn coi IAM như... một chuyện buồn?

Đó là vấn đề thú vị. IAM không tạo ra sản phẩm, không tạo ra doanh thu, không giúp bạn scale. Nó chỉ ngăn chặn mọi thứ tồi tệ xảy ra. Nó là bảo hiểm cho công ty của bạn, và không ai thích trả tiền bảo hiểm.

Nhưng đây là điều ít ai nhận ra: một lỗi IAM có thể xóa sạch công ty bạn trong vài giờ. Năm 2023, trung bình chi phí của một vụ breach là $4.5 triệu đô la (theo Ponemon Institute). Tại Việt Nam, một công ty bị lộ dữ liệu khách hàng có thể mất trên 70% lượng tin tưởng thị trường chỉ trong vòng 6 tháng. Đó không phải trừu tượng.

Cái "cơn đau" thật sự của IAM

Nhiều công ty nghĩ IAM chỉ là about passwords và permissions. Sai hoàn toàn.

IAM thực sự là về ai, cái gì, khi nào, và tại sao. Nó trả lời những câu hỏi như:

• Nhân viên A có cần quyền truy cập vào Salesforce không?
• Tại sao nhân viên đó vẫn có quyền sửa configuration production từ tháng 6?
• Nó có phải là lúc tốt để disable SSH key của interns?
• Tại sao bộ phận marketing có thể xem được transaction logs?

Thực tế là, trong hầu hết các tổ chức, permissions khủng khiếp. Tôi làm việc với một công ty có 200 nhân viên, và khi tôi audit, tôi tìm thấy một kỹ sư đã từ chức 8 tháng vẫn có quyền admin trên 14 dịch vụ khác nhau. Không ai nhận ra.

Quyền truy cập quá quyền là norma l

Ở Việt Nam, nhiều công ty vẫn sử dụng shared credentials. Bạn biết những lúc cả team nhận được một mật khẩu duy nhất để truy cập database? "Admin123" trong một file Excel được lưu trên Dropbox? Cách tồi tệ nhất có thể.

Lý do? Nó nhanh. Lý do? Nó dễ.

Lý do? Nó là rào cản ngay khi bạn đã bận rộn.

Nhưng khi bạn sử dụng shared credentials, bạn không thể biết ai đã làm gì. Bạn không thể audit. Bạn không thể revoke. Bạn chỉ có thể hy vọng mọi thứ sẽ ổn.

Cách thực sự để làm IAM

Câu trả lời là Zero Trust (không tin tưởng tự động). Nó có nghe như một buzzword? Phải. Nhưng nó cũng là cách duy nhất để không bị hack.

Nguyên tắc cơ bản: mọi thứ đều phải được xác thực và phê duyệt, ngay cả nội bộ. Nhân viên của bạn không phải là "tin tưởng từ" vì họ đang ngồi trên mạng nội bộ.

Trong thực tế, điều này có nghĩa là:

• Single Sign-On (SSO) - một login cho tất cả các dịch vụ. Công cụ như Okta, Auth0, hoặc Azure AD là tiêu chuẩn.
• Role-Based Access Control (RBAC) - mọi người chỉ có những quyền họ cần ngay lúc đó. Không có "admin để phòng ngừa".
• MFA (Multi-Factor Authentication) - đặc biệt cho production access. Nếu bạn không yêu cầu MFA, bạn sẽ bị hack.
• Audit logging - mọi hành động phải được ghi lại. Ai? Cái gì? Khi nào? Từ đâu?

Nhân viên mới + onboarding + offboarding = địa ngục nếu không làm đúng

Đây là nơi công ty mắc sai lầm nhất. Onboarding mới thường là hỗn loạn - bạn tạo tài khoản trên 8 nền tảng khác nhau với mật khẩu khác nhau, và rồi khi nhân viên rời đi, bạn... lơ là? Hoặc tệ hơn, bạn yêu cầu IT "vô hiệu hóa tất cả" nhưng không ai biết tất cả có nghĩa là gì.

Một quy trình offboarding tốt phải:

1. 1Tự động - activate on day 1, deactivate on day last
2. 2Comprehensive - mọi hệ thống, không phải chỉ Active Directory
3. 3Recorded - có báo cáo rõ ràng về những gì bị revoke

Hiện thực ở Việt Nam

Thành thật mà nói, IAM chưa phải là ưu tiên hàng đầu trong phần lớn các công ty tech Việt Nam. Đó là lý do tại sao breaches vẫn xảy ra. Chúng tôi vẫn thích tốc độ hơn bảo mật... cho đến khi chúng tôi bị hack, rồi bây giờ chúng tôi buộc phải làm nó đúng, nhưng quá muộn rồi.

Tôi khuyên mọi người: bắt đầu sớm. Nó không cần phức tạp. Một triển khai IAM cơ bản có thể được thiết lập trong vài tuần, không phải vài tháng.

Nhân viên rời đi? Disable ngay hôm đó. Nhân viên mới? Một quy trình onboarding tự động. Người dùng admin? Yêu cầu MFA và 2FA. Đó là nó.

Quản lý danh tính không phải là về công nghệ. Nó là về quy trình. Công nghệ chỉ là công cụ để thực hiện quy trình đó một cách nhất quán.

Chúng tôi tại Idflow Technology hiểu rằng IAM là nền tảng, và chúng tôi giúp các công ty xây dựng nó đúng cách.