Nhắc đến kiểm soát truy cập, có nhiều mô hình mà người dùng có thể cân nhắc, ứng dụng tùy theo đặc trưng của các dự án triển khai. Trong đó, nổi bật hơn cả hẳn không thể không kể đến mô hình kiểm soát truy cập dựa trên thuộc tính (Attribute Based access Control – ABAC). Vậy, có gì khác biệt giữa ABAC với các mô hình kiểm soát truy cập truyền thống? Trong bài viết này, Proton sẽ so sánh chi tiết giữa các mô hình ABAC, RBAC và MAC, giúp bạn hiểu rõ hơn về ưu điểm và tính ứng dụng của từng mô hình.

Phân biệt kiểm soát truy cập ABAC với các mô hình truyền thống​

Các mô hình kiểm soát truy cập có vai trò gì?

Trong kỷ nguyên số đang diễn ra mạnh mẽ như hiện nay, khi mà dữ liệu đóng vai trò then chốt cho sự vận hành của tổ chức, bảo mật cũng trở thành vấn đề sống còn mà các tổ chức, doanh nghiệp cần đặc biệt chú trọng. Theo đó, các mô hình kiểm soát truy cập đóng vai trò như những lá chắn vững chắc, bảo vệ dữ liệu khỏi những truy cập trái phép, góp phần đảm bảo an ninh mạng và thúc đẩy hoạt động hiệu quả cho các doanh nghiệp. 

Vai trò quan trọng của mô hình kiểm soát truy cập có thể kể đến như: 

– Ngăn chặn truy cập trái phép vào dữ liệu nhạy cảm, bảo vệ thông tin quan trọng của tổ chức khỏi bị đánh cắp, sửa đổi hoặc xóa trái phép.

– Giúp tổ chức, doanh nghiệp tuân thủ các yêu cầu pháp lý và quy định về bảo mật dữ liệu, tránh vi phạm và chịu các chế tài xử phạt.

– Đảm bảo chỉ những người dùng được ủy quyền mới có thể truy cập vào các nguồn lực cần thiết, thúc đẩy hiệu quả công việc và hạn chế lãng phí thời gian.

– Giảm thiểu nguy cơ vi phạm dữ liệu, tấn công mạng và các mối đe dọa an ninh mạng khác, bảo vệ danh tiếng và uy tín của tổ chức, doanh nghiệp. 

Các mô hình kiểm soát truy cập giúp đảm bảo chỉ những người dùng được ủy quyền mới có thể truy cập vào các nguồn lực cần thiết

Phân biệt chi tiết kiểm soát quyền truy cập ABAC so với các mô hình kiểm soát truyền thống

Các mô hình kiểm soát truy cập phổ biến hiện nay bao gồm ABAC (Attribute Based Access Control), RBAC (Role Based Access Control), DAC (Discretionary Access Control) và MAC (Mandatory Access Control). Trong đó, mỗi mô hình kiểm soát có những đặc trưng riêng. 

Về cách thức hoạt động

– ABAC (Attribute Based Access Control): Quyền truy cập dựa trên các thuộc tính của người dùng, tài nguyên, hành động và ngữ cảnh. Quyết định truy cập được đưa ra bằng cách đánh giá nhiều thuộc tính kết hợp.

– RBAC (Role Based Access Control): Quyền truy cập dựa trên vai trò của người dùng. Người dùng được gán vào các vai trò cụ thể và mỗi vai trò có một tập hợp các quyền hạn cố định.

– DAC (Discretionary Access Control): Chủ sở hữu tài nguyên quyết định ai có quyền truy cập và quyền hạn tương ứng của các đối tượng này. Quyền truy cập thường dựa trên danh sách kiểm soát truy cập (ACL).

– MAC (Mandatory Access Control): Quyền truy cập được kiểm soát bởi một cơ quan trung ương, không phụ thuộc vào chủ sở hữu tài nguyên. Quyền hạn dựa trên mức độ bảo mật và nhãn an toàn của người dùng và tài nguyên.

Về tính linh hoạt và khả năng quản lý 

– ABAC: Rất linh hoạt, cho phép thiết lập các quy tắc phức tạp và đa chiều. Tuy nhiên, việc quản lý các quy tắc này có thể là yêu cầu phức tạp mà người dùng cần đặc biệt chú trọng. 

– RBAC: Dễ quản lý hơn với các tổ chức nhỏ và có cấu trúc đơn giản. Khi tổ chức lớn và vai trò trở nên phức tạp, việc quản lý có thể gặp khó khăn hơn đôi chút.

– DAC: Linh hoạt trong quyền kiểm soát của người sở hữu tài nguyên, nhưng dễ dẫn đến tình trạng thiếu nhất quán và bảo mật thấp hơn.

– MAC: Cực kỳ bảo mật, phù hợp cho các tổ chức yêu cầu bảo mật nghiêm ngặt như chính phủ, quân đội. Tuy nhiên, mô hình kiểm soát truy cập này lại khá thiếu linh hoạt và khó quản lý thay đổi.

Về tính bảo mật

– ABAC: Cung cấp bảo mật cao nhờ sử dụng nhiều thuộc tính để kiểm soát truy cập. Thế nhưng, mô hình này cũng đòi hỏi một hệ thống hạ tầng mạnh mẽ và quản lý phức tạp.

– RBAC: Bảo mật tốt nếu vai trò và quyền hạn được thiết lập hợp lý. Dễ bị giới hạn trong các tình huống cần quản lý quyền truy cập phức tạp.

– DAC: Bảo mật thấp hơn do quyền kiểm soát thuộc về cá nhân, dễ xảy ra lỗi hoặc lạm dụng quyền.

– MAC: Bảo mật cao nhất, vì quyền truy cập không thể thay đổi bởi cá nhân. Phù hợp cho các môi trường đòi hỏi an ninh tối đa.

Về khả năng mở rộng

– ABAC: Dễ dàng mở rộng khi tổ chức và yêu cầu bảo mật thay đổi. Có thể thêm mới các thuộc tính và quy tắc mà không ảnh hưởng đến cấu trúc hiện có.

– RBAC: Mở rộng hạn chế khi số lượng vai trò và quyền hạn tăng lên, dễ dẫn đến phức tạp trong quản lý.

– DAC: Khả năng mở rộng tốt ở mức độ cá nhân, nhưng khó kiểm soát toàn diện trong các tổ chức lớn.

– MAC: Mở rộng khó khăn do tính cứng nhắc và phức tạp trong thiết lập các chính sách bảo mật.

Mô hình RBAC mở rộng hạn chế khi số lượng vai trò và quyền hạn tăng lên

Tổng kết

Mỗi mô hình kiểm soát truy cập đều có ưu và nhược điểm riêng. ABAC nổi bật với sự linh hoạt và bảo mật cao, phù hợp cho các tổ chức cần quản lý truy cập phức tạp. RBAC, DAC, và MAC cũng có các ứng dụng riêng, phù hợp với từng loại hình tổ chức và yêu cầu bảo mật cụ thể. Chính vì thế, việc lựa chọn mô hình phù hợp đòi hỏi người dùng phải xem xét kỹ lưỡng các nhu cầu và điều kiện nhất định.

Công ty Cổ phần Công nghệ Proton