Jason Patterson & John Martinez – Ngày 15 Tháng 4, 2025

Viết bởi Jason Patterson (Sr. WW Security Partner Solutions Architect – AWS) & John Martinez (Technical Evangelist – StrongDM)

Vận hành đám mây đòi hỏi vừa nhanh vừa an toàn trong quản lý truy cập. Các tổ chức phải tìm điểm cân bằng: cấp quyền ngay để người dùng hoàn thành công việc, nhưng vẫn duy trì kiểm soát bảo mật chặt chẽ. Zero Trust là nền tảng cho cách tiếp cận này. Khác với hệ thống truyền thống cấp quyền thường trực, Zero Trust liên tục giám sát và xác thực mọi danh tính người dùng dựa trên dữ liệu mối đe doạ theo thời gian thực. Khi phát hiện rủi ro, hệ thống lập tức cắt quyền truy cập, bảo vệ tài nguyên và dữ liệu quan trọng. Mô hình bảo mật động, “luôn bật” này chính là bảo mật đám mây hiện đại trong thực tiễn.

Cơ chế truy cập và phê duyệt Just-in-Time (JIT) của StrongDM bảo vệ tài nguyên đám mây bằng cách chỉ cấp quyền khi cần, trong khoảng thời gian cần, và theo đúng điều kiện. Cách tiếp cận này vừa đảm bảo an ninh, vừa tối ưu quy trình làm việc—đặc biệt cho các tài nguyên mặt phẳng dữ liệu (data plane) của Amazon Web Services như Amazon Redshift, Amazon EC2 và Amazon Elastic Kubernetes Service (EKS).

Vì sao truy cập Just-in-Time quan trọng với Zero Trust

Mô hình Zero Trust vận hành theo nguyên tắc không tin cậy mặc định bất kỳ người dùng hay thiết bị nào. Mọi yêu cầu truy cập đều phải được xác minh liên tục dựa trên nhiều yếu tố như danh tính người dùng, tình trạng thiết bị và ngữ cảnh phiên làm việc. Cách tiếp cận của StrongDM để triển khai Zero Trust trong AWS cần cân bằng giữa năng suất người dùng và kiểm soát truy cập nghiêm ngặt—điều mà truy cập JIT của StrongDM hiện thực hóa.

Trong bối cảnh Zero Trust, JIT đảm bảo người dùng chỉ nhận đúng quyền vào đúng thời điểm. Quyền truy cập là tạm thời, tự động hết hạn sau thời lượng được định sẵn hoặc khi không còn sử dụng, từ đó giảm rủi ro lộ lọt thông tin xác thực hoặc cấp thừa quyền.

Trong StrongDM, JIT được quản lý qua các yêu cầu phê duyệt, cho phép cấp quyền rất cụ thể theo thời gian. StrongDM bảo vệ các tài nguyên data plane của AWS như cơ sở dữ liệu, máy chủ và cụm Kubernetes theo cách tiếp cận Zero Trust. Như minh họa ở Hình 1, triển khai kiểm soát truy cập JIT là yếu tố cốt lõi để đạt Quản trị Truy cập theo Zero Trust.

Hình 1 – Mô hình trưởng thành Truy cập An toàn (Secure Access Maturity Model)

Các thành phần then chốt của truy cập Just-in-Time trong StrongDM

Quản lý phiên từ điểm cuối đến tài nguyên

Zero Trust đòi hỏi cái nhìn chi tiết về mọi tương tác giữa người dùng và tài nguyên. Trong StrongDM, mọi yêu cầu truy cập bắt đầu và kết thúc với quản lý phiên toàn diện, ghi log đầy đủ từ điểm cuối của người dùng đến tài nguyên AWS. Tính quan sát end-to-end này giúp đội ngũ bảo mật biết chính xác ai truy cập cái gì, khi nào và trong bao lâu—một yêu cầu nền tảng trong môi trường Zero Trust. Các log phiên theo dõi hoạt động trên mọi tài nguyên data plane của AWS, từ các phiên SSH vào EC2, truy vấn vào cơ sở dữ liệu RDS, đến lệnh chạy trong Kubernetes; cung cấp dữ liệu giá trị cho kiểm toán và phát hiện bất thường. 

Hình 2 – Truy cập JIT của StrongDM và các tài nguyên được uỷ quyền

Thu hồi phiên để ứng phó mối đe doạ theo thời gian thực

Trong Zero Trust với Xác minh liên tục, mọi phiên đang hoạt động đều có thể bị chấm dứt và cô lập khi phát hiện mối đe dọa. Khả năng thu hồi phiên của StrongDM cho phép quản trị viên ngay lập tức thu hồi quyền truy cập. Nếu có cảnh báo bảo mật hoặc hành vi bất thường, các phiên đang hoạt động có thể bị kết thúc tự động theo chính sách hoặc thủ công qua giao diện quản trị. Cơ chế này bổ sung một lớp kiểm soát quan trọng cho các phiên data plane trong AWS (kết nối cơ sở dữ liệu, phiên SSH Linux, lệnh Kubernetes, v.v.), nơi các nguyên tắc Zero Trust được áp dụng để nhanh chóng khống chế rò rỉ hoặc hành vi đáng ngờ. Các phiên JIT theo thời gian cũng bị chấm dứt tức thời, giảm rủi ro đe doạ tồn lưu.

Hình 3 – Kiến trúc StrongDM trên AWS: dữ liệu phiên giữa client StrongDM và tài nguyên control plane đích của AWS được truyền qua đường hầm an toàn, mã hóa, nhận thức giao thức và danh tính

Hình 4 – Quản trị viên có thể thu hồi các phiên JIT trước khi hết hạn

Cân bằng giữa bảo mật và trải nghiệm người dùng với MFA và độ tin cậy thiết bị (Device Trust)

Một trọng tâm của Zero Trust là “Không bao giờ tin cậy, luôn luôn xác minh” người dùng, thiết bị hoặc ứng dụng. Truy cập JIT của StrongDM tích hợp xác thực đa yếu tố (MFA) và độ tin cậy thiết bị như các lớp xác minh cốt lõi—tạo ra “độ ma sát vừa đủ” để đảm bảo an ninh mà không kìm hãm năng suất. Với Policy-based Access Controls (PBAC) của StrongDM, các phiên có thể yêu cầu MFA (TOTP hoặc đẩy thông báo) để chắc chắn người truy cập đúng là họ. Đây là một lớp xác minh liên tục thiết yếu trong Zero Trust, nơi danh tính phải luôn được xác minh.

Tính năng độ tin cậy thiết bị của StrongDM mở rộng xác minh này bằng cách kiểm tra tư thế bảo mật (posture) của thiết bị người dùng trước khi cấp quyền và trong suốt phiên. Ví dụ: nếu thiết bị không đạt chuẩn an ninh, quyền truy cập vào tài nguyên AWS sẽ bị từ chối, giảm rủi ro truy cập trái phép. Nếu tư thế thiết bị xấu đi trong phiên, phiên đó sẽ bị chấm dứt và quyền truy cập bị thu hồi. Cách tiếp cận kết hợp này tạo ra “gờ giảm tốc” tối thiểu nhưng có chủ đích, củng cố an ninh và phù hợp với nguyên lý Zero Trust.

Khả năng kiểm toán toàn diện cho tính quan sát và tuân thủ Zero Trust

Thành phần quan trọng của Zero Trust là khả năng quan sát và truy cứu trách nhiệm đối với mọi hoạt động truy cập. Khả năng kiểm toán của StrongDM đáp ứng yêu cầu này bằng các log và insight chi tiết cho mọi yêu cầu truy cập, thu hồi, phiên và hành động người dùng, như thấy ở Hình 5.

Các log cho phép đội ngũ bảo mật lần vết hành trình của từng người dùng từ yêu cầu → tài nguyên, ghi nhận mọi lệnh, truy vấn và chỉnh sửa trong phiên. Bằng cách lưu trữ lịch sử đầy đủ, kiểm toán của StrongDM củng cố các nguyên lý Zero Trust như xác minh liên tục, đặc quyền tối thiểu, và sẵn sàng ứng phó sự cố.

Hình 5 – Khả năng ghi log và kiểm toán toàn diện cho mọi phiên

Câu chuyện khách hàng

Khi Seismic hợp nhất và tinh gọn hạ tầng trong hai năm, quản lý truy cập là trở ngại quan trọng. Họ cần áp đặt chính sách bảo mật, tự động hoá cấp quyền và loại bỏ điểm nghẽn—mà không tạo thêm ma sát cho kỹ sư. StrongDM là lời giải: trung tâm hoá kiểm soát truy cập, thực thi đặc quyền tối thiểu một cách động, và có được quan sát theo thời gian thực với các sự kiện truy cập.

Với giải pháp JIT của StrongDM và tích hợp AWS IAM, Seismic tự động hoá cấp quyền, chỉ cấp động khi cần và loại bỏ thông tin xác thực/đặc quyền tồn tại thường trực. Trước đây, kỹ sư có khi phải chờ vài ngày để có quyền vào tài nguyên thiết yếu; với quy trình cấp quyền tự động của StrongDM, thời gian đó nay chỉ tính bằng phút, giảm mạnh downtime và chi phí thủ công. Các chính sách truy cập theo ngữ cảnh dựa trên AWS Cedar, xác minh độ tin cậy thiết bị và log kiểm toán đầy đủ giúp Seismic đáp ứng các yêu cầu bảo mật khắt khe mà vẫn giữ được tính linh hoạt vận hành.

“Đưa chúng tôi đến trạng thái có truy cập Just-in-Time với đặc quyền tối thiểu là điều tạo nên khác biệt; chúng tôi thực sự không thể làm được nếu không có một giải pháp như StrongDM.” — Tom Wojtalewicz, Senior Manager, Site Reliability Engineering, Seismic

Hành trình của Seismic cùng StrongDM và AWS cho thấy các tổ chức đám mây hiện đại có thể mở rộng an toàn, tự động hoá quản lý truy cập và giữ đội ngũ luôn hiệu quả—đồng thời đáp ứng các tiêu chuẩn bảo mật & tuân thủ cao nhất.

Kết luận

Mô hình Zero Trust phải triển khai bảo mật nghiêm ngặt mà không làm chậm năng suất. Mô hình truy cập Just-in-Time của StrongDM giải bài toán này bằng cách cung cấp quyền truy cập có mục tiêu, giới hạn theo thời gian, dưới các điều kiện kiểm soát an toàn khi thực sự cần. Bằng việc chỉ cấp quyền khi cần và xác minh mọi phiên, StrongDM đảm bảo tuân thủ các nguyên tắc Zero Trust đồng thời giúp người dùng làm việc hiệu quả.

Trong môi trường AWS—quản lý các tài nguyên như cơ sở dữ liệu Amazon Redshift, phiên bản Amazon EC2 và cụm Amazon EKS—JIT của StrongDM cân bằng giữa bảo mật và khả dụng. Giải pháp tích hợp các kiểm tra bảo mật vào trải nghiệm người dùng, chỉ cấp quyền cho đúng khoảng thời gian và điều kiện yêu cầu, đảm bảo vận hành đám mây an toàn và tinh gọn.

Xem bản giới thiệu Zero Trust PAM hoạt động qua bản demo của StrongDM.

StrongDM – AWS Partner Spotlight

StrongDM là AWS Validated Technology Partner cung cấp nền tảng Privileged Access Management (PAM) Zero Trust cho hạ tầng hiện đại ngày nay. Được thiết kế hỗ trợ cách thức đội ngũ làm việc, StrongDM mang đến cho kỹ sư và quản trị viên quyền truy cập an toàn, không phiền toái tới các hệ thống quan trọng họ cần—không còn nút thắt cổ chai, chính sách mong manh hay công cụ lỗi thời. StrongDM đơn giản hóa việc thực thi đặc quyền tối thiểu, tuân thủ liên tục và nâng cao năng suất trên mọi hệ thống—từ AWS đến các hệ thống kế thừa—theo điều kiện của bạn.

Liên hệ StrongDM | Tổng quan đối tác | AWS Marketplace

TAGS: Amazon EC2, Amazon EKS, Amazon Redshift, Identity and Access Management, Least Privilege, multi-Factor Authentication, Remote Work, StrongDM, VPN, Zero Trust