Security365

Giải Đáp Access Control PBQ Của CompTIA Security+

Published by

IT-PRO

on

Tình huống của câu hỏi trên như sau : https://cyber.security365.vn/pbq/comptia-security%2b/access-control.html

Một disgruntled admin trong công ty bạn vừa lợi dụng owner-based permissions để upload một video chứa nội dung xúc phạm CEO. Sự cố này khiến công ty cần một giải pháp access control an toàn hơn, gọn gàng hơn.

Công ty có 3 nhóm nhân sự với quyền hạn khác biệt:

  • Admins — quản trị viên hệ thống
  • Front-end developers (devs) — lập trình giao diện
  • Video producers (prod) — nhóm sản xuất video

Nhiệm vụ của bạn: xác định (1) mỗi nhóm truy cập infrastructure thế nào, (2) security role nào, và (3) authentication method nào cho system access.

📌 Notes quan trọng

  • Admins should NOT have standing privileges
  • Client members need authenticated accounts, nhưng MFA isn’t an option cho họ
  • Internal users (kể cả staff) CAN have MFA

Giải đáp chi tiết :

Dưới đây là lời giải đáp đầy đủ và chi tiết cho tình huống Performance-Based Question (PBQ) về chủ đề Identity and Access Management (IAM) .

1. Mô Tả Tình Huống (Scenario Briefing)

  • Sự cố tiền đề: Một quản trị viên bất mãn (disgruntled admin) đã lợi dụng cơ chế cấp quyền dựa trên quyền sở hữu cá nhân (owner-based permissions / DAC) để đăng tải một video có nội dung xúc phạm CEO lên hệ thống.
  • Mục tiêu giải quyết: Doanh nghiệp cần thiết kế và tái cấu trúc lại mô hình kiểm soát truy cập (Access Control Model) sang một cơ chế an toàn hơn, chặt chẽ hơn cho 3 nhóm nhân sự nội bộ (Admins, Front-end developers, Video producers) và đối tượng khách hàng (Clients).
  • Các điều kiện ràng buộc cốt lõi (Notes):
    1. Admins (Quản trị viên): Tuyệt đối KHÔNG được có đặc quyền thường trực (NOT have standing privileges). Quyền hạn cao chỉ được cấp khi cần thiết và có thời hạn.
    2. Clients (Khách hàng bên ngoài): Cần có tài khoản xác thực riêng biệt, nhưng hệ thống không cho phép áp dụng Xác thực đa yếu tố (MFA isn’t an option) đối với họ.
    3. Internal users (Nhân sự nội bộ – bao gồm nhân viên kỹ thuật & sản xuất): Đều CÓ THỂ và bắt buộc phải áp dụng cấu hình MFA để đảm bảo an toàn.

2. Phần 1: Câu Hỏi Tổng Quát Cho Service Roles (Access Control Wizard)

Mục này giải quyết các câu hỏi kiến trúc tổng thể dựa trên nguyên lý bảo mật tiêu chuẩn của CompTIA:

  • Câu 1: What should you implement to ensure proper authentication and security for service roles?
    • Đáp án: Role-Based Access Control (RBAC)
    • Giải thích: Việc quản lý quyền hạn theo các nhóm chức năng cố định (Admin, Developer, Production) yêu cầu mô hình RBAC để đảm bảo tính gọn gàng và dễ quản lý. Mô hình cũ DAC (Discretionary Access Control) chính là lỗ hổng để admin tùy ý thao tác dựa trên quyền sở hữu.
  • Câu 2: What should you enforce to ensure proper authentication and security for service roles?
    • Đáp án: Principle of Least Privilege (Nguyên tắc quyền tối thiểu)
    • Giải thích: Đây là triết lý cốt lõi để ngăn chặn rủi ro từ “rogue admin” hay “insider threat”. Mỗi vai trò hay dịch vụ chỉ được cấp đúng và đủ những quyền hạn tối thiểu cần thiết để hoàn thành công việc được giao.
  • Câu 3: What can you utilize to ensure proper authentication and security for service roles?
    • Đáp án: Certificate-Based Authentication (Xác thực dựa trên chứng thư số)
    • Giải thích: Đối với các tài khoản dịch vụ, tương tác hệ thống với hệ thống (service-to-service), sử dụng chứng thư số (Digital Certificates) là giải pháp chuẩn vàng. Phương thức này loại bỏ rủi ro lộ mật khẩu tĩnh, chống tấn công lừa đảo (phishing) và cho phép tự động xoay vòng khóa (rotate).

3. Phần 2: Ma Trận Cấu Hình Theo Từng Nhóm (Per-Group Configuration Matrix)

Dưới đây là bảng ma trận đáp án chính xác được phân tích dựa trên yêu cầu nghiêm ngặt của tình huống:

📊 Bảng tổng hợp đáp án ma trận

Nhóm Đối TượngAccess Method (Cách truy cập)Security Role (Vai trò bảo mật)Authentication Method (Phương thức xác thực)
🖥️ Web App (Backend)Video Storage BackendRead-Only ServiceCertificate-Based Authentication
🗄️ Web Server (Backend)Client AccountRead-Only ServiceCertificate-Based Authentication
👥 Clients (Khách hàng)Web ServerRead-Only GuestPassword
👨‍💻 Developers (Lập trình viên)API KeyRead/Write DevMFA
🎥 Production Crew (Đội sản xuất)Storage BackendRead/Write ProdMFA
🔧 Admins (Quản trị viên)All Servers/ InfrastructureAdminPassword Vaulting

💡 Phân tích chi tiết lý do chọn cho từng cột:

A. Nhóm Hệ Thống / Back-end (Web App & Web Server)

  • Access Method: * Ứng dụng Web (Web App) cần kết nối trực tiếp đến nơi lưu trữ để phân phối video $\rightarrow$ Video Storage Backend.
    • Máy chủ Web (Web Server) xử lý các phiên làm việc và yêu cầu xác thực từ tài khoản khách hàng $\rightarrow$ Client Account.
  • Security Role: Cả Web App và Web Server chỉ có nhiệm vụ đọc và phân phối dữ liệu cho người dùng cuối $\rightarrow$ Read-Only Service.
  • Authentication Method: Tương tác tự động giữa các thành phần hệ thống với nhau $\rightarrow$ Certificate-Based Authentication.

B. Nhóm Khách Hàng (Clients)

  • Access Method: Khách hàng thông thường truy cập dịch vụ thông qua giao diện máy chủ web $\rightarrow$ Web Server.
  • Security Role: Chỉ vào hệ thống với tư cách khách để xem nội dung, không có quyền can thiệp $\rightarrow$ Read-Only Guest.
  • Authentication Method: Ràng buộc từ đề bài chỉ rõ “MFA không phải là một lựa chọn cho khách hàng” $\rightarrow$ Bắt buộc dùng mật khẩu truyền thống Password.

C. Nhóm Lập Trình Viên (Developers)

  • Access Method: Front-end Devs cần tích hợp mã nguồn, kiểm thử và giao tiếp với các dịch vụ nền thông qua mã khóa lập trình $\rightarrow$ API Key.
  • Security Role: Cần quyền đọc/ghi mã nguồn và cấu hình trong môi trường phát triển $\rightarrow$ Read/Write Dev.
  • Authentication Method: Nhân sự nội bộ, cần lớp bảo mật mạnh mẽ $\rightarrow$ MFA.

D. Nhóm Sản Xuất (Production Crew)

  • Access Method: Nhóm làm video cần tải lên (upload) và biên tập trực tiếp file lưu trữ $\rightarrow$ Storage Backend.
  • Security Role: Có đặc quyền chỉnh sửa, thêm bớt dữ liệu video $\rightarrow$ Read/Write Prod.
  • Authentication Method: Tương tự Devs, là nhân sự nội bộ nên bắt buộc áp dụng $\rightarrow$ MFA.

E. Nhóm Quản Trị Viên (Admins)

  • Access Method: Admin quản lý toàn diện hệ thống công nghệ thông tin $\rightarrow$ All Servers/ Infrastructure.
  • Security Role: Nắm giữ vai trò quản trị tối cao $\rightarrow$ Admin.
  • Authentication Method: Đây là điểm mấu chốt để giải quyết bài toán Insider Threat. Đề bài yêu cầu “Admins không được có đặc quyền thường trực (standing privileges)”. Do đó, ta phải chọn giải pháp Quản lý truy cập đặc quyền (PAM) / Just-in-Time (JIT) thông qua Password Vaulting.Cơ chế này bắt buộc Admin phải thực hiện “check-out” (mượn) thông tin xác thực từ kho lưu trữ khi cần cấu hình hệ thống. Quyền hạn này có giới hạn thời gian (time-bound) và mọi hành vi đều được ghi log chi tiết để đối soát, triệt tiêu hoàn toàn rủi ro lạm quyền dài hạn.
Previous Post
Next Post

BÀI MỚI

CEH v13 – CHFI v11 EXAMPREP BOOTCAMP | Luyện thi cấp tốc, lấy chứng chỉ chỉ trong 1 tuần!

🔥 Đặc biệt tại TP.HCM:
Các lớp luyện thi cấp tốc nguyên ngày Thứ 7 & Chủ Nhật khai giảng vào ngày 15 hàng tháng, phù hợp cho người đi làm và cần lấy chứng chỉ nhanh.

🎯 Phù hợp cho Pentester, SOC Analyst, Blue Team, Incident Response, Digital Forensics và các chuyên gia an ninh mạng muốn nâng cấp sự nghiệp với chứng chỉ EC-Council quốc tế.

~ Liên hệ Zalo CertMaster – Zalo 0914433339

Security365

About

A passionate baseball fan blog celebrating America's favorite pastime.

Topics

Follow Us

Blog at WordPress.com.