Trang chủ
cloud
develop

Bài 6: Xác Thực vs. Ủy Quyền - Ai Là Bạn & Bạn Được Làm Gì? | DevSecOps Story

Chuyện về devsecops

Phần 2: Các Khái Niệm Bảo Mật Cơ Bản

Bài 6: Xác Thực (Authentication) vs. Ủy Quyền (Authorization)

Đây là hai khái niệm thường bị nhầm lẫn nhưng lại là bộ đôi "vệ sĩ" không thể tách rời của mọi hệ thống an toàn. Một cái hỏi "Bạn là ai?", cái còn lại quyết định "Bạn được làm gì?".

Ôn lại bài cũ: Bộ Ba CIA

Trong bài trước, chúng ta đã tìm hiểu về 3 trụ cột của an toàn thông tin: Tính Bí Mật (dữ liệu được giữ kín), Tính Toàn Vẹn (dữ liệu không bị sửa đổi), và Tính Sẵn Sàng (hệ thống luôn hoạt động). Hôm nay, chúng ta sẽ đi sâu vào cơ chế kiểm soát quyền truy cập để bảo vệ các yếu tố này.

Xác Thực (Authentication)

"Bạn là ai?"

Đây là quá trình xác minh danh tính của một người dùng, dịch vụ, hoặc hệ thống. Nó đảm bảo rằng bạn chính là người mà bạn tuyên bố.

Các hình thức phổ biến:

  • Thứ bạn biết: Mật khẩu, mã PIN.
  • Thứ bạn có: Điện thoại (nhận mã OTP), token vật lý.
  • Thứ thuộc về bạn: Dấu vân tay, khuôn mặt (sinh trắc học).

Thực tế DevSecOps: Sử dụng Xác thực Đa Yếu Tố (MFA) là bắt buộc để tăng cường bảo vệ cho tài khoản Git, Cloud và các công cụ CI/CD.

Ủy Quyền (Authorization)

"Bạn được phép làm gì?"

Quá trình này diễn ra sau khi xác thực thành công. Nó xác định các quyền, quyền truy cập và hành động mà một người dùng đã được xác thực được phép thực hiện.

Các ví dụ điển hình:

  • Vai trò người dùng: 'Admin' có thể tạo và xóa, trong khi 'User' chỉ có thể xem.
  • Quyền truy cập file: Bạn có quyền đọc, ghi, hay thực thi một tệp tin?
  • Phạm vi API (Scopes): Một ứng dụng bên thứ ba chỉ được cấp quyền đọc dữ liệu cá nhân của bạn, không được phép sửa đổi.

Thực tế DevSecOps: Áp dụng Kiểm soát Truy cập Dựa trên Vai trò (RBAC) trong Kubernetes và các nền tảng Cloud để gán quyền chi tiết cho người dùng và dịch vụ.

Ví Dụ Thực Tế: Sân Bay

Hãy tưởng tượng bạn đang ở sân bay:

  1. 1
    Xác Thực: Bạn trình hộ chiếu và vé máy bay tại quầy an ninh. Nhân viên xác minh rằng bạn chính là hành khách có tên trên vé.
  2. 2
    Ủy Quyền: Thông tin trên vé (hạng phổ thông) ủy quyền cho bạn đi vào khu vực chờ chung, nhưng không được vào phòng chờ hạng thương gia.

Không Thể Thiếu 1 Trong 2

Xác thực mà không có ủy quyền thì vô nghĩa - ai cũng vào được nhưng không biết họ được làm gì. Ủy quyền mà không có xác thực thì cực kỳ nguy hiểm - hệ thống sẵn sàng cấp quyền mà không cần biết người yêu cầu là ai. Trong DevSecOps, chúng ta phải thiết lập cả hai một cách chặt chẽ.

Bài Tiếp Theo: Nguyên Tắc Đặc Quyền Tối Thiểu

Đăng nhận xét