1.

Mở đầu

Authorization (ủy quyền) là một khía cạnh quan trọng trong bảo mật ứng
dụng, đóng vai trò như gác cổng, xác định người dùng nào có quyền truy
cập vào các tài nguyên nào trong hệ thống. Báo cáo chuyên sâu này sẽ đi
sâu vào phân tích các khái niệm, phương pháp và chính sách liên quan
đến authorization, cung cấp cho bạn kiến thức toàn diện về chủ đề này.

2. Khái niệm cốt lõi

 Authorization: Xác định mức độ quyền sử dụng mà người dùng

được phép thực hiện đối với các tài nguyên như tệp, cơ sở dữ liệu,
ứng dụng con, v.v.
 Xác thực: Xác định danh tính của người dùng thông qua các
phương thức như mật khẩu, sinh trắc học, mã OTP, v.v.
 Mục đích:
o Cho phép người dùng thực hiện các hành động được cấp
phép.
o Truy cập các tài nguyên được bảo vệ.
o Ngăn chặn truy cập trái phép và sử dụng sai mục đích.

3. Các phương pháp authorization phổ biến

 Khóa API: Dành cho các ứng dụng cụ thể, xác định người sử dụng
API và cấp quyền truy cập vào các chức năng nhất định.
 Xác thực cơ bản: Yêu cầu người dùng nhập tên đăng nhập và mật
khẩu vào tiêu đề HTTP để truy cập tài nguyên.
 HMAC (Hash-based Message Authentication Code): Dựa trên
mã xác thực tin nhắn được tạo bằng thuật toán chữ ký số, đảm bảo
tính toàn vẹn và an toàn cho dữ liệu truyền tải giữa người gửi và
người nhận.
 OAuth (Open Authorization): Cho phép người dùng ủy quyền
cho các ứng dụng thứ ba truy cập thông tin của họ mà không cần
tiết lộ mật khẩu. OAuth được sử dụng rộng rãi bởi các tập đoàn lớn
như Google, Facebook, Amazon, v.v.
4. Chính sách authorization hiệu quả

 Nguyên tắc: Áp dụng nguyên tắc "Chỉ có những gì cần thiết"

(Least Privilege) để hạn chế quyền truy cập của người dùng chỉ
đến những tài nguyên và chức năng cần thiết cho công việc của họ.
 Mô hình authorization:
o RBAC (Role-Based Access Control): Cấp quyền dựa trên
vai trò của người dùng trong hệ thống.
o Permission-Based Access Control: Cấp quyền dựa trên các
quyền cụ thể được gán cho từng người dùng.
o Mô hình kết hợp: Sử dụng kết hợp RBAC và Permission-
Based để tối ưu hóa tính linh hoạt và bảo mật.
 Cấp phép/Từ chối: Xác định các quy tắc rõ ràng để xác nhận xem
một người dùng có được phép truy cập tài nguyên hay không.
 Quy định chính sách: Mô tả chi tiết các quy tắc và quy định liên
quan đến authorization, bao gồm:
o Xác định các nhóm người dùng và vai trò.
o Quyền truy cập cụ thể cho từng nhóm và vai trò.
o Quy trình quản lý và cập nhật chính sách.
 Giám sát và Nhật ký: Ghi lại các hoạt động truy cập tài nguyên
của người dùng, bao gồm thời gian, địa điểm, hành động thực hiện,
v.v. Việc giám sát giúp phát hiện các truy cập bất thường và truy
xuất thông tin khi cần thiết.
 Tuân thủ và Đánh giá: Đảm bảo chính sách authorization tuân
thủ các yêu cầu pháp luật, quy định nội bộ và tiêu chuẩn bảo mật.
Việc đánh giá định kỳ giúp xác định hiệu quả của chính sách và
thực hiện các điều chỉnh cần thiết.

5. Các chủ đề nâng cao

 Quản lý danh tính và truy cập (IAM): Cung cấp một giải pháp
toàn diện để quản lý vòng đời của danh tính người dùng, bao gồm
xác thực, ủy quyền, cấp phép và truy cập.
  Phân quyền theo ngữ cảnh: Cấp quyền truy cập dựa trên ngữ
cảnh cụ thể, chẳng hạn như vị trí địa lý, thời gian truy cập, thiết bị
sử dụng, v.v.
 Mã hóa dữ liệu: Bảo vệ dữ liệu khỏi truy cập trái phép ngay cả
khi kẻ tấn công có quyền truy cập vào hệ thống.
 Giáo dục và nâng cao nhận thức: Nâng cao nhận thức của người
dùng về tầm quan trọng của authorization và cách sử dụng các
quyền truy cập một cách an toàn.

6. Kết luận

Authorization đóng vai trò then chốt trong việc bảo vệ dữ liệu và ứng
dụng khỏi các truy cập trái phép.