Trong một bước đi quan trọng nhằm tăng cường an ninh mạng, Microsoft đã công bố loại bỏ hoàn toàn quyền truy cập đặc quyền cao (High-Privilege Access – HPA) trong toàn bộ các ứng dụng thuộc hệ sinh thái Microsoft 365. Động thái này là một phần của Sáng kiến Tương lai An toàn (Secure Future Initiative – SFI) mà Microsoft đang triển khai nhằm củng cố an ninh trên hạ tầng, sản phẩm và dịch vụ của hãng.

HPA được định nghĩa là các tình huống mà ứng dụng hoặc dịch vụ có thể truy cập sâu rộng vào dữ liệu người dùng mà không cần xác minh theo ngữ cảnh người dùng, điển hình trong các tương tác dịch vụ với dịch vụ (service-to-service, S2S). Việc loại bỏ mô hình này giúp giảm thiểu rủi ro từ rò rỉ danh tính, lộ thông tin xác thực hoặc tấn công leo thang quyền truy cập.

Rà soát toàn bộ hệ thống và thay đổi kiến trúc ứng dụng

Để hiện thực hóa cam kết này, Microsoft đã tiến hành kiểm tra toàn diện tất cả các ứng dụng trong Microsoft 365, đánh giá các tương tác S2S giữa chúng với các nhà cung cấp tài nguyên. Kết quả là hơn 1.000 trường hợp sử dụng HPA đã bị loại bỏ. Hơn 200 kỹ sư đã tham gia vào quá trình tái thiết kiến trúc hệ thống, thay thế các cơ chế xác thực cũ dễ bị lạm dụng bằng các giao thức hiện đại, an toàn hơn.

Một ví dụ tiêu biểu là việc thay quyền truy cập toàn cục như Sites.Read.All bằng quyền truy cập chi tiết hơn như Sites.Selected, chỉ cho phép đọc các site SharePoint cụ thể. Điều này giúp bảo đảm nguyên tắc ít quyền nhất (least privilege) mà không ảnh hưởng đến các chức năng thiết yếu của người dùng.

Microsoft cũng triển khai hệ thống giám sát chuẩn hóa, liên tục phát hiện và cảnh báo nếu còn sót lại bất kỳ quyền truy cập đặc quyền cao nào, giúp nhanh chóng khắc phục và duy trì tính minh bạch trong hoạt động nội bộ.

Giải pháp cho doanh nghiệp

Với những thay đổi sâu rộng trong chính hệ thống, Microsoft cũng khuyến nghị các tổ chức doanh nghiệp cần áp dụng tương tự các nguyên tắc bảo mật để đồng hóa tư thế phòng thủ.

Các giải pháp như nền tảng định danh Microsoft Entra và các công cụ bảo mật tích hợp sẵn trong Microsoft 365 hiện đã hỗ trợ đầy đủ khả năng kiểm soát quyền truy cập theo mô hình ít quyền nhất. Một số biện pháp thực hành cụ thể bao gồm: 

Thứ nhất rà soát và thu hồi quyền truy cập không sử dụng hoặc quá rộng trong các ứng dụng hiện có.

Thứ hai yêu cầu sự đồng ý của người dùng cho các hành vi truy cập nội dung.

Thứ ba ưu tiên các quyền được ủy quyền (delegated permission) thay vì cấp quyền truy cập toàn cục, chỉ cho phép các ứng dụng hoạt động trong phạm vi của người dùng đã đăng nhập.

Thứ tư thiết lập quy trình kiểm toán định kỳ để đảm bảo tuân thủ lâu dài.

Việc thiết kế ứng dụng với nguyên tắc bảo mật ngay từ đầu và duy trì kiểm soát nghiêm ngặt trong suốt vòng đời triển khai sẽ giúp doanh nghiệp giảm thiểu các điểm tấn công, tăng cường khả năng phục hồi và phòng thủ trong môi trường kỹ thuật số ngày càng phức tạp.

Thu Uyên