Bizfly Cloud ra mắt IAM tiên phong tại Việt Nam cho máy chủ ảo Cloud Server

Để đáp ứng nhu cầu quản trị người dùng cho các khách hàng đang sử dụng máy chủ ảo Cloud Server do Bizfly Cloud cung cấp, cũng như thuận tiện hơn cho người dùng có nhu cầu sử dụng các giải pháp đám mây, Bizfly Cloud hiện đã phát triển thành công giải pháp IAM cho Bizfly Cloud Server. Và hướng tới sẽ tích hợp toàn bộ cho các giải pháp đám mây Bizfly Cloud đang cung cấp.

Về IAM - identity and access management

Quản lý định danh và phân quyền truy cập (viết tắt là IAM hoặc IdAM) là một giải pháp giúp xác định danh tính người dùng và xác định họ được phép làm gì. Có thể hình dung IAM giống như các security guard trước các buổi concert với danh sách những người được phép vào, những người không được phép vào và những người có thể vào khu vực VIP.

Giải thích ở góc độ kỹ thuật, IAM là phương thức quản lý một tập hợp danh tính “số” của tập người dùng nhất định và các đặc quyền liên quan đến từng danh tính trong đó. IAM có thể được sử dụng cho nhiều sản phẩm/dịch vụ khác nhau, nhưng nó thực hiện chức năng cơ bản giống nhau. Trong một tổ chức, IAM có thể là một sản phẩm duy nhất hoặc có thể được tích hợp trong các quy trình, phần mềm, phần cứng và dịch vụ đám mây nhằm cung cấp cho quản trị viên khả năng theo dõi và kiểm soát những phần dữ liệu thuộc tổ chức mà người dùng cá nhân có thể truy cập.

Identity hay danh tính trong môi trường máy tính (danh tính số)

Toàn bộ danh tính của một người không thể được tải lên và lưu trữ trong máy tính, vì vậy để thuận tiện cho việc sử dụng, "danh tính" trong môi trường máy tính có nghĩa là một tập hợp các thuộc tính nhất định có thể được đo lường và ghi lại dưới dạng số. Lấy ví dụ thẻ căn cước hoặc hộ chiếu: không phải mọi thông tin về một người đều được ghi trong thẻ căn cước, nhưng nó chứa các đặc điểm cá nhân để nhận dạng theo quy chuẩn.

Để xác minh danh tính, hệ thống máy tính sẽ đánh giá các đặc điểm riêng biệt của người dùng/user. Nếu chúng khớp, danh tính của người dùng sẽ được xác nhận. Những đặc điểm này còn được gọi là "yếu tố xác thực"/authentication, vì chúng giúp xác thực được liệu user đó có đúng là họ hay không.

Ba yếu tố xác thực được sử dụng phổ biến nhất là:

• Những gì user biết
• Những gì user có
• Những gì là của user

Những gì user biết:

Yếu tố này là phần thông tin mà chỉ user đó biết, như username và password.

Ví dụ bạn muốn kiểm tra email công việc của mình từ nhà. Để làm như vậy, trước tiên bạn sẽ phải đăng nhập vào tài khoản email của mình với thông tin đăng nhập (danh tính xác thực email), bởi vì nếu ai đó không phải là bạn truy cập vào email, dữ liệu công ty sẽ bị xâm phạm.

Bạn đăng nhập bằng cách nhập email của mình, user@company.com và mật khẩu mà chỉ bạn biết - ví dụ: “123Xy)*f34”. Có thể không ai khác ngoài bạn biết mật khẩu này, vì vậy hệ thống email nhận ra bạn và cho phép bạn truy cập vào tài khoản email của mình. Nếu ai đó cố mạo danh bạn bằng cách nhập địa chỉ email của họ là “user@company.com”, họ sẽ không thành công nếu không biết nhập password “123Xy)*f34”.

Những gì user có:

Yếu tố này có nghĩa là user sở hữu mã thông báo được cấp cho họ khi họ được ủy quyền. Ví dụ cơ bản nhất về yếu tố xác thực này là việc sử dụng khóa nhà vật lý để vào nhà của một người. Giả định là chỉ ai sở hữu, người thuê, hoặc cách khác (người thân) được phép vào nhà mới có chìa khóa.

Ở môi trường kỹ thuật, sở hữu vật lý có thể là khóa thông minh, thiết bị USB hoặc điện thoại thông minh. Giả sử rằng công ty bạn muốn chắc chắn hơn rằng tất cả người dùng là chính họ đúng như những gì họ xác nhận bằng cách kiểm tra hai yếu tố xác thực thay vì một yếu tố. 

Bây giờ, thay vì chỉ nhập mật khẩu riêng của mình - thứ mà user biết – bạn phải cho hệ thống email biết rằng bạn sở hữu một thứ mà không ai khác có. Bạn là người duy nhất trên thế giới sở hữu điện thoại thông minh cá nhân của chính bạn, vì vậy hệ thống email sẽ nhắn cho bạn một mã sử dụng một lần và bạn nhập mã để chứng minh bạn sở hữu điện thoại nhận mã.

Những gì là của user:

Yếu tố này liên quan đến một thuộc tính vật lý trên cơ thể một người. Một ví dụ phổ biến cho yếu tố xác thực này là Face ID, tính năng được nhiều điện thoại thông minh hiện đại hỗ trợ. Quét vân tay là một ví dụ khác. Các phương pháp ít phổ biến hơn được một số tổ chức yêu cầu mức bảo mật, an ninh cao sử dụng bao gồm quét võng mạc và xét nghiệm máu.

Trong trường hợp tổ chức của bạn quyết định thắt chặt bảo mật hơn nữa bằng cách yêu cầu người dùng xác minh ba yếu tố thay vì hai (tuy nhiên giải pháp này chỉ được áp dụng khi thực sự cần thiết). Bây giờ bạn phải nhập mật khẩu, xác minh quyền sở hữu điện thoại thông minh và quét dấu vân tay của mình trước khi hệ thống email xác nhận rằng bạn thực sự là bạn.

Tóm lại: Trong thế giới thực, danh tính của một người là một tổ hợp đa dạng các đặc điểm cá nhân, tiểu sử, địa chỉ và các yếu tố khác. Trong thế giới kỹ thuật số, danh tính của người dùng được tạo thành từ một số hoặc cả ba yếu tố xác thực, được lưu trữ “số” trong cơ sở dữ liệu danh tính. Để ngăn những kẻ giả mạo mạo danh người dùng thực, hệ thống máy tính sẽ kiểm tra danh tính của người dùng dựa trên cơ sở dữ liệu danh tính.

Access management/Quản lý truy cập là gì?

Quyền truy cập của user có thể hiểu là dữ liệu mà user có thể xem và những hành động họ có thể thực hiện sau khi đăng nhập. Khi bạn đăng nhập vào email của mình, bạn có thể xem tất cả các email mà bạn đã gửi và nhận. Tuy nhiên, bạn sẽ không thể nhìn thấy các email được gửi và nhận của Hương - đồng nghiệp của bạn.

Nói cách khác, chỉ vì danh tính của người dùng được xác minh, điều đó không có nghĩa là họ có thể truy cập bất cứ thứ gì họ muốn trong hệ thống hoặc mạng. Ví dụ: một nhân viên cấp thấp trong một công ty có thể truy cập vào tài khoản email công ty của họ, nhưng họ sẽ không thể truy cập vào bảng lương, thông tin nhân sự, các dữ liệu không công khai cho sử dụng chung.

Quản lý quyền truy cập là quá trình kiểm soát và theo dõi quyền truy cập. Mỗi user trong một hệ thống sẽ có các quyền khác nhau trong hệ thống đó dựa trên nhu cầu cá nhân của họ. Nếu là kế toán, họ sẽ cần truy cập và chỉnh lý bảng lương, vì vậy khi họ xác minh danh tính của mình, họ sẽ truy cập được vào tài khoản email của mình cũng như có thể xem và cập nhật những dữ liệu đó.

Tại sao IAM lại quan trọng trong Cloud Computing?

Trong Cloud Computing dữ liệu được lưu trữ từ xa và truy cập qua Internet. Vì người dùng có thể kết nối Internet từ gần như bất cứ đâu trên mọi thiết bị, nên hầu hết các dịch vụ đám mây đều không xác định được thiết bị và vị trí. User không cần phải ở trong văn phòng hoặc sử dụng thiết bị thuộc sở hữu của công ty để truy cập vào đám mây. Và trên thực tế, lượng nhân lực làm việc từ xa đang ngày càng tăng lên và xu hướng làm việc từ xa đang ngày càng trở nên phổ biến hơn.

Chính vì thế, danh tính trở thành yếu tố quan trọng nhất để kiểm soát quyền truy cập. Danh tính hay có thể gọi tắt là ID của user, không phải thiết bị hoặc vị trí của họ, xác định họ có bất kỳ quyền truy cập nào hay không, dữ liệu đám mây nào họ có thể truy cập và những thao tác gì họ có thể thực hiện với những dữ liệu đó.

Để hiểu tại sao danh tính lại quan trọng như vậy, ta có thể xét ví dụ sau: Giả sử hacker muốn truy cập các tệp nhạy cảm trong data center của một công ty. Vào thời điểm trước khi điện toán đám mây được áp dụng rộng rãi, hacker sẽ phải vượt qua tường lửa đang bảo vệ mạng nội bộ công ty hoặc truy cập trực tiếp vào máy chủ vật lý (nếu có thể đột nhập được vào văn phòng hoặc hối lộ nhân viên nội bộ. Mục tiêu sau cùng của kẻ gian là vượt qua các lớp phòng vệ.

Trong khi đó, với Cloud Computing, các tệp nhạy cảm được lưu trữ từ xa trong một máy chủ đám mây. Khi nhân viên của công ty cần truy cập các tệp, họ sẽ đăng nhập qua trình duyệt hoặc ứng dụng. Nếu kẻ gian muốn truy cập các tệp, tất cả những gì kẻ đó cần là thông tin đăng nhập của nhân viên (như user name và password) và kết nối Internet; kẻ gian sẽ không cần phải vượt qua những bức tường ngăn cách như trước kia, cả nghĩa đen lẫn nghĩa bóng.

IAM giúp ngăn chặn các cuộc tấn công khai thác danh tính, ngăn chặn vi phạm dữ liệu trong các vụ việc leo thang đặc quyền (khi người dùng trái phép có quá nhiều quyền truy cập). Do đó, hệ thống IAM rất cần thiết cho cloud computing trong nâng cao bảo mật hệ thống và quản lý hiệu quả các team làm việc từ xa.

IAM trong kiến trúc đám mây/ứng dụng trong đám mây

IAM là một dịch vụ đám mây và có thể ví như 1 trạm gác mà user cần phải pass qua để truy cập vào phần còn lại trong hạ tầng đám mây của tổ chức. IAM cũng có thể được triển khai cho mạng nội bộ của hệ thống hạ tầng vật lý trong tổ chức. Và, một số nhà cung cấp đám mây công cộng có thể tích hợp IAM với các dịch vụ khác của họ để phục vụ nhu cầu quản lý truy cập và phân quyền.

Bizfly Cloud Server tích hợp IAM tiên phong tại Việt Nam

Để đáp ứng nhu cầu quản trị người dùng cho các khách hàng đang sử dụng máy chủ ảo Cloud Server do Bizfly Cloud cung cấp, cũng như thuận tiện hơn cho người dùng có nhu cầu sử dụng các giải pháp đám mây, Bizfly Cloud hiện đã phát triển thành công giải pháp IAM cho Bizfly Cloud Server. Và hướng tới sẽ tích hợp toàn bộ cho các giải pháp đám mây Bizfly Cloud đang cung cấp.

Sau một thời gian nghiên cứu dựa trên nhu cầu và mong muốn thực tế của nhiều khách hàng tại Việt Nam, hiện tại giải pháp đã hoàn thành giai đoạn Close Beta và bắt đầu triển khai cho các khách hàng có nhu cầu trải nghiệm. Từ đó, Bizfly Cloud sẽ tiếp tục hoàn thiện để triển khai một giải pháp có thể mở rộng được thành IAM hoàn chỉnh, dễ hiểu và phù hợp với nhiều đối tượng người dùng.

Hệ thống IAM của Bizfly Cloud Server giúp:

• Quản lý dự án/nhóm
• Quản lý người dùng
• Phần quyền người dùng sử dụng tài nguyên của Bizfly Cloud Server

Một số tính năng đang phát triển:

• Kiểm tra, theo dõi hoạt động người dùng
• Phần quyền người dùng sử dụng tài nguyên trên toàn bộ dịch vụ Bizfly Cloud
• Tuỳ chỉnh giới hạn quyền
• Tích hợp với các hệ thống xác thực bên thứ ba
• Thông báo (Notification)

Hãy là 1 trong 30 người đầu tiên trải nghiệm giải pháp lần đầu có tại Bizfly Cloud và tiên phong trên thị trường Việt Nam.

Theo Bizfly Cloud chia sẻ