AAA không phải là một loại pin như bạn nghĩ. Mà AAA là....Hãy đọc ngay nhé!




Hiểu rõ mô hình AAA trong Kiểm soát truy cập mạng (NAC) – Góc nhìn của một chuyên gia bảo mật
Bảo vệ tài nguyên mạng không chỉ đơn giản là dựng tường lửa hay đặt mật khẩu mạnh. Mọi truy cập vào hệ thống cần được kiểm soát chặt chẽ bằng một mô hình toàn diện: AAA – Authentication, Authorization, and Accounting.

1. AAA là gì?


Trong bất kỳ hệ thống bảo mật nào hiện đại, đặc biệt trong triển khai việc Kiểm soát truy cập mạng Network Access Control (NAC), AAA là nền tảng cốt lõi để đảm bảo rằng ai đang truy cập, được phép làm gì, và đã làm gì. Rất đơn giản. Người dùng/ Máy tính muốn truy cập mạng thì chúng ta phải kiểm soát họ, không phải ai cũng vào được. Lúc đó chúng ta sẽ triển khai AAA.



CHỮ A ĐẦU TIÊN: Authentication – Xác thực


Đây là bước đầu tiên và quan trọng nhất: “Who are you - Bạn là ai?”
Authentication là quá trình mà hệ thống yêu cầu người dùng (hoặc thiết bị) chứng minh danh tính của họ. Có nhiều hình thức xác thực, bao gồm:

• Cái bạn biết: Mật khẩu, mã PIN

• Cái bạn có: Token, thẻ thông minh

• Cái bạn là: Sinh trắc học như vân tay, khuôn mặt

• Xác thực đa yếu tố (MFA): Kết hợp nhiều yếu tố để tăng cường độ tin cậy

• Single Sign-On (SSO): Cho phép người dùng đăng nhập một lần để truy cập nhiều hệ thống

CHỮ A THỨ HAI - Authorization – Phân quyền


Sau khi xác thực xong, câu hỏi kế tiếp là: “Bạn được phép làm gì?”

Authorization là quá trình xác định các quyền mà người dùng hoặc thiết bị được phép thực hiện trên hệ thống. Điều này được quy định bởi:

• ACLs (Access Control Lists)

• RBAC (Role-Based Access Control)

• ABAC (Attribute-Based Access Control)

• Nguyên tắc quyền tối thiểu (Least Privilege)

• Phân tách nhiệm vụ (Separation of Duties)

CHỮ A CUỐI CÙNG - Accounting – Ghi nhận và theo dõi. TÍNH TIỀN XÀI MẠNG...


Đây là thành phần không thể thiếu để phục vụ giám sát, kiểm toán và phản ứng sự cố.
Accounting ghi lại tất cả các hành động được thực hiện sau khi truy cập đã được cấp quyền:

• Ai đăng nhập?

• Khi nào?

• Từ đâu?

• Đã truy cập những tài nguyên gì?

• Có thao tác nào bất thường không?

Các hệ thống như SIEM, Syslog server, hoặc UEBA thường được dùng để lưu trữ và phân tích dữ liệu kế toán. Họ có thông tin này để về sau audit hoặc tính tiền billing dịch vụ mà bạn đã sử dụng.

2. Hai giao thức GIÚP TRIỂN KHAI AAA phổ biến: RADIUS và TACACS+


RADIUS (Remote Authentication Dial-In User Service)

• Được sử dụng rộng rãi trong NAC, VPN, Wi-Fi enterprise

• Kết hợp Authentication và Authorization trong một tiến trình

• Sử dụng UDP, mã hóa chỉ phần mật khẩu

• Phù hợp với môi trường quy mô lớn, cần hiệu năng cao

TACACS+ (Terminal Access Controller Access-Control System Plus)

• Phát triển bởi Cisco, sử dụng TCP – đáng tin cậy hơn

• Mã hóa toàn bộ payload, bảo mật hơn so với RADIUS

• Tách riêng Authentication, Authorization và Accounting → quản lý chi tiết và linh hoạt hơn

• Lý tưởng cho việc kiểm soát truy cập thiết bị mạng (switch, router, firewall)

Một số ví dụ ứng dụng AAA trong thực tế:

• Kiểm soát truy cập vào hệ thống SCADA trong nhà máy

• Quản lý truy cập thiết bị mạng trong trung tâm dữ liệu

• Áp dụng NAC cho nhân viên làm việc từ xa (VPN + MFA)

• Tích hợp với Cisco ISE để kiểm soát người dùng và thiết bị IoT trong mạng doanh nghiệp

Tổng kết:


Authentication Bạn là ai? Đăng nhập bằng username/password + OTP

Authorization Bạn được phép làm gì? Truy cập thư mục tài chính nhưng không được sửa

Accounting Bạn đã làm gì? Ghi lại thao tác xóa tệp lúc 10:15AM từ IP nội bộ

Chia sẻ từ chuyên gia:








​