Microsoft đã đạt được một bước tiến đáng kể trong việc củng cố bảo mật hệ sinh thái Microsoft 365 bằng cách loại bỏ một cách có hệ thống quyền truy cập đặc quyền cao (High-Privileged Access – HPA) trên tất cả các ứng dụng. Đây là một phần của sáng kiến rộng hơn mang tên Secure Future Initiative (SFI) của hãng.

SFI là một nỗ lực tích hợp trên toàn bộ cơ sở hạ tầng, sản phẩm và dịch vụ của Microsoft nhằm nâng cao các biện pháp bảo vệ an ninh mạng. Trong đó, trụ cột “Bảo vệ khách hàng thuê và Cô lập hệ thống sản xuất” (Protect Tenants and Isolate Production Systems) được đặc biệt chú trọng, phản ánh cam kết của Microsoft trong việc giảm thiểu rủi ro từ các quyền truy cập không cần thiết.

Định nghĩa High-Privileged Access (HPA)

Về mặt kỹ thuật, HPA được định nghĩa là các kịch bản trong đó một ứng dụng hoặc dịch vụ có được quyền truy cập rộng, giả mạo nội dung của khách hàng mà không yêu cầu xác minh ngữ cảnh người dùng. Điều này thường xảy ra trong các tương tác giữa dịch vụ với dịch vụ (service-to-service – S2S).

Ví dụ, khi Ứng dụng B truy cập dữ liệu khách hàng được lưu trữ trong Ứng dụng A thông qua API mà không có sự ủy quyền rõ ràng từ người dùng đã xác thực, đây chính là một minh họa cho HPA. Tình huống này tiềm ẩn nguy cơ cho phép giả mạo danh tính, đồng thời làm tăng đáng kể rủi ro như sự xâm phạm dịch vụ, rò rỉ thông tin xác thực hoặc lộ token truy cập.

Bằng cách thực thi nguyên tắc quyền tối thiểu liên tục (continuous least privilege principles), Microsoft đảm bảo rằng tất cả các giao tiếp giữa các ứng dụng trong Microsoft 365 tuân thủ các quyền cần thiết tối thiểu. Điều này giúp giảm thiểu các lỗ hổng ngay cả trong các kịch bản không có sự ủy quyền của người dùng. Cách tiếp cận này không chỉ bảo vệ các quy trình công việc kinh doanh quan trọng mà còn phù hợp với tư duy “giả định bị xâm phạm” (assume breach), nơi các cuộc tấn công tiềm tàng được giải quyết chủ động thông qua các giao thức xác thực nghiêm ngặt.

Chiến lược loại bỏ HPA của Microsoft

Quá trình triển khai nội bộ

Nội bộ, Microsoft đã tiến hành một cuộc kiểm toán toàn diện tất cả các ứng dụng Microsoft 365 và các tương tác S2S của chúng với các nhà cung cấp tài nguyên. Quá trình này dẫn đến việc loại bỏ các cơ chế xác thực kế thừa đã tạo điều kiện cho các mẫu hình HPA tồn tại.

Các kỹ sư đã đẩy nhanh việc áp dụng các giao thức hiện đại, an toàn hơn, đồng thời thiết kế lại kiến trúc để hỗ trợ kiểm soát truy cập chi tiết (granular access controls). Thay vì các quyền truy cập rộng như ‘Sites.Read.All‘ (cho phép đọc tất cả các trang SharePoint), các ứng dụng hiện được giới hạn trong các phạm vi chính xác hơn như ‘Sites.Selected‘ (chỉ cho phép đọc các trang SharePoint cụ thể). Điều này đảm bảo việc thực thi quyền tối thiểu mà không làm gián đoạn các kịch bản sử dụng của khách hàng.

Nỗ lực quy mô lớn này đã huy động sự tham gia của hơn 200 kỹ sư và đã thành công trong việc giảm thiểu hơn 1.000 trường hợp HPA. Bên cạnh đó, các hệ thống giám sát tiêu chuẩn đã được triển khai để phát hiện và báo cáo bất kỳ quyền truy cập đặc quyền cao còn sót lại nào, cung cấp khả năng hiển thị liên tục và khắc phục nhanh chóng.

Theo báo cáo chính thức của Microsoft, những thay đổi này nhấn mạnh cam kết của Microsoft trong việc giảm bề mặt tấn công (attack surfaces) trong các môi trường kết nối liên tục, nơi các ứng dụng phải tương tác liền mạch nhưng vẫn đảm bảo an toàn để mang lại giá trị.

Khuyến nghị cho tổ chức và nhà phát triển

Để phản ánh tư thế bảo mật được nâng cao của Microsoft, các tổ chức được khuyến nghị tận dụng các công cụ gốc của Microsoft 365 và nền tảng định danh Microsoft Entra. Nền tảng này cung cấp một khuôn khổ đồng ý mạnh mẽ để quản lý quyền của ứng dụng.

Thực tiễn tốt nhất cho tổ chức

Các phương pháp chính bao gồm:

• Kiểm toán các ứng dụng hiện có để thu hồi các quyền truy cập không sử dụng hoặc quá mức.
• Yêu cầu sự đồng ý của người dùng cho các yêu cầu truy cập nội dung.
• Ưu tiên các quyền được ủy quyền (delegated permissions) cho phép các ứng dụng hoạt động chỉ trong phạm vi người dùng đã đăng nhập.

Nguyên tắc cho nhà phát triển

Các nhà phát triển nên lồng ghép các nguyên tắc quyền tối thiểu (least-privilege principles) ngay từ đầu trong quá trình phát triển ứng dụng. Đồng thời, việc triển khai các biện pháp kiểm soát kiểm toán chặt chẽ cho các đánh giá định kỳ sẽ đảm bảo tuân thủ các chính sách bảo mật.

Bằng cách áp dụng các biện pháp này, các doanh nghiệp có thể giảm đáng kể rủi ro liên quan đến HPA, từ đó xây dựng một hệ sinh thái kỹ thuật số kiên cường hơn.