KUNGFU TECH

0
0
Lập trình
Hưng Nguyễn Xuân 1
Hưng Nguyễn Xuân 1xuanhungptithcm

Ai Quản Lý NHIs? Thách Thức Định Nghĩa Quyền Sở Hữu IT Doanh Nghiệp

Đăng vào 1 tháng trước

• 5 phút đọc

Chủ đề:

#security#infosec#identity#nhi

Giới thiệu

Trong lĩnh vực công nghệ thông tin hiện đại, khái niệm "quyền sở hữu" là một trong những vấn đề khó khăn nhất để định nghĩa. Đặc biệt trong môi trường doanh nghiệp, nơi mà quyền sở hữu không chỉ đơn thuần là việc ai đó sở hữu một vật thể vật lý mà còn liên quan đến những thực thể phi nhân (NHI). Bài viết này sẽ khám phá cách mà quyền sở hữu được hiểu trong bối cảnh IT doanh nghiệp, cùng với những thách thức và giải pháp để quản lý NHIs hiệu quả hơn.

Quyền Sở Hữu Cá Nhân So Với Doanh Nghiệp

Khi bạn sở hữu một chiếc ô tô hay một ngôi nhà, bạn hoàn toàn kiểm soát và chịu trách nhiệm khi có vấn đề xảy ra. Tuy nhiên, trong môi trường doanh nghiệp, quyền sở hữu trở nên phức tạp hơn, đặc biệt với NHIs. Thực tế là, khi một thành viên trong nhóm bảo mật đặt câu hỏi: "Ai sở hữu khối lượng công việc này và quyền truy cập của nó?" thường thì câu trả lời chỉ là sự im lặng hoặc những cái nhún vai. Điều này cho thấy sự thiếu rõ ràng trong việc xác định quyền sở hữu trong tổ chức.

Phân Chia Quyền Sở Hữu Trong Doanh Nghiệp

Hiếm khi nào một cá nhân có thể hoàn toàn chịu trách nhiệm cho bất kỳ điều gì trong doanh nghiệp, đặc biệt là với NHIs. Ví dụ, một nhà phát triển có thể tạo ra một NHI cho ứng dụng của họ, nhưng người khác sẽ là người triển khai, quản lý vòng đời của thông tin xác thực và xử lý các sự cố bảo mật khi có vấn đề xảy ra. Điều này dẫn đến sự phân tán trách nhiệm giữa các đội nhóm, thay vì tập trung vào một cá nhân.

Hai Cách Để Nghĩ Về Quyền Sở Hữu NHI

Khi bàn về việc phân bổ quyền sở hữu cho các NHIs, chúng ta đang thực sự đối mặt với hai khái niệm khác nhau:

  1. Định Nghĩa Quyền Sở Hữu Truyền Thống: Đây là khái niệm mà chúng ta có thể quy trách nhiệm cho một cá nhân cụ thể. Tuy nhiên, trong môi trường doanh nghiệp, điều này thường không thực tế.
  2. Chuyên Gia Về Chủ Đề: Thay vì chỉ định một người chịu trách nhiệm, chúng ta có thể xem quyền sở hữu như là việc trở thành người có thể trả lời những câu hỏi quan trọng về NHI và giúp toàn bộ doanh nghiệp quản lý và điều hành danh tính đó.

Dilemma Của Các Nhà Phát Triển

Thường thì, người có thể trả lời nhiều câu hỏi về một NHI chính là nhà phát triển đã tạo ra nó. Tuy nhiên, họ không thể chịu trách nhiệm cho việc thông tin xác thực có được cập nhật hay không, cũng như không phải là người triển khai các cấu hình dịch vụ đám mây. Tuy nhiên, họ có thể cung cấp thông tin quan trọng mà các đội bảo mật cần để xử lý sự cố.

OWASP NHI Top 10: Lộ Trình Địa Chỉ Rủi Ro

Khi nói về quản lý và bảo mật danh tính phi nhân, chúng ta thực sự đang cố gắng giải quyết những yếu tố rủi ro chính mà NHIs mang lại. OWASP đã cung cấp cho chúng ta một lộ trình với danh sách 10 rủi ro hàng đầu mà chúng ta nên chú ý:

  • Thông tin xác thực còn hoạt động không?
  • Nó có được lưu trữ an toàn không, hay đã bị rò rỉ?
  • NHI nên hành xử như thế nào và quyền truy cập nào đã được cấp?
  • Tại sao nó tồn tại?
  • Những điều kiện nào cần xem xét để ngừng sử dụng nó?

Tập Trung Vào Quản Lý Rủi Ro, Không Phải Quy Trách Nhiệm

Mục tiêu chính của chúng ta là đảm bảo rằng các kẻ tấn công không thể dễ dàng lợi dụng quyền truy cập mà chúng ta đã cấp cho NHIs. Điều này không thể đạt được thông qua việc quy trách nhiệm cho một cá nhân nào đó. Chúng ta cần tập trung vào cơ bản của quản lý rủi ro NHI và đảm bảo rằng tại bất kỳ thời điểm nào, chúng ta có thể trả lời các câu hỏi cơ bản về việc tuân thủ chính sách quản lý của chúng ta.

Công Cụ Hỗ Trợ Quản Lý NHI

Các nền tảng như GitGuardian được xây dựng để giải quyết vấn đề quản lý NHIs. GitGuardian cung cấp các câu trả lời thiết thực về trạng thái của các bí mật NHI, giúp các nhóm xử lý sự cố nhanh chóng và hiệu quả hơn.

Kết Luận

Câu chuyện về quyền sở hữu thường bị mắc kẹt vào việc quy trách nhiệm. GitGuardian tái cấu trúc nó xung quanh sự đảm bảo. Chúng tôi giúp các nhóm đảm bảo rằng nếu một bí mật tồn tại, bất kể nó được lưu trữ ở đâu hoặc như thế nào, các câu hỏi quản lý có thể được trả lời nhanh chóng và nhất quán. Mục tiêu cuối cùng là giảm thiểu rủi ro liên quan đến NHIs, bất kể ai đã tạo ra chúng hay khi nào chúng tồn tại.

Câu Hỏi Thường Gặp (FAQ)

  1. NHIs là gì?
    NHIs (Non-Human Identities) là những danh tính không phải con người trong môi trường công nghệ thông tin, như tài khoản dịch vụ hay API keys.

  2. Tại sao quyền sở hữu NHI lại quan trọng?
    Quyền sở hữu NHI giúp xác định ai là người có thể quản lý và điều hành danh tính đó, từ đó giảm thiểu rủi ro bảo mật.

  3. Làm thế nào để quản lý NHIs hiệu quả?
    Cần có hệ thống quản lý rõ ràng và sự hợp tác giữa các nhóm để đảm bảo rằng các thông tin liên quan đến NHIs luôn được cập nhật và an toàn.

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào