Passport

​

Tổng quan

• Kết nối an toàn các thiết bị (endpoint) với nhau qua mạng riêng tư.
• Xác thực mạnh mẽ bằng danh tính thiết bị và người dùng.
• Áp dụng chính sách kiểm soát truy cập linh hoạt.
• Giám sát và ghi nhận toàn bộ hoạt động mạng.

​

Kiến trúc giải pháp

​

1. Thiết bị Endpoint

• Laptop, điện thoại, server, hoặc bất kỳ thiết bị nào cần bảo vệ và quản lý.
• Cài đặt CyStack Endpoint, tự động tham gia vào mạng riêng Passport.
• Xác thực người dùng qua Identity Provider (Google Workspace, Microsoft Entra ID, Okta, v.v.)

​

2. Tailscale Control Plane

• Là dịch vụ quản lý trung tâm (SaaS) của Passport.
• Không truyền dữ liệu người dùng, chỉ hỗ trợ thiết lập phiên kết nối ngang hàng (peer-to-peer).
• Quản lý:
  • Xác thực thiết bị
  • Xác thực người dùng
  • Phân phối chính sách ACL (Access Control List)

​

3. Data Plane (Peer-to-Peer Encrypted Mesh VPN)

• Sử dụng WireGuard để mã hóa đầu cuối.
• Dữ liệu chảy trực tiếp giữa các thiết bị mà không qua server trung gian.
• Tận dụng NAT traversal và relay server (DERP) của Tailscale khi cần thiết.

​

4. Passport Policy Engine

• Phân nhóm thiết bị theo vai trò (VD: nhân viên, quản trị viên, server, CI/CD runner).
• Định nghĩa quyền truy cập chi tiết (chặn hoặc cho phép theo service, port, hoặc device).
• Kết hợp với giải pháp SIEM/SOC để ghi nhận log và cảnh báo.

​

5. Identity Provider (IdP)

• Kết nối với hệ thống xác thực hiện tại của doanh nghiệp.
• Hỗ trợ SSO và xác thực đa yếu tố (MFA).

​

6. Monitoring & Logging

• Passport tích hợp logging toàn bộ hoạt động của Tailscale network.
• Kết nối với hệ thống giám sát bảo mật (SIEM) để phân tích hành vi và phát hiện sớm xâm nhập.

​

Định danh và kiểm soát thiết bị theo người dùng

• Khi thiết bị được đăng ký vào hệ thống Passport, thiết bị sẽ được gán định danh người sở hữu dựa trên quá trình xác thực.
• Passport duy trì bản đồ user-to-machine, giúp biết chính xác mỗi thiết bị thuộc về ai trong tổ chức.
• Chính sách bảo mật được xây dựng trên mối liên kết này:
  • Cho phép hoặc hạn chế quyền truy cập không chỉ dựa trên thiết bị, mà còn dựa trên người sở hữu thiết bị đó.
  • Ví dụ: Chỉ những thiết bị thuộc sở hữu của nhóm Finance mới có quyền truy cập vào hệ thống kế toán nội bộ.
• Khi quyền sở hữu thiết bị thay đổi hoặc người dùng bị thu hồi quyền truy cập, chính sách cũng được cập nhật tương ứng, giảm thiểu rủi ro và tăng cường kiểm soát.
• Passport ghi nhận đầy đủ hoạt động theo cả thiết bị và người dùng, giúp điều tra sự cố và phân tích bảo mật có ngữ cảnh đầy đủ hơn.

​

Chính sách truy cập và bảo mật

• Chính sách kết nối machine-to-machine: quy định khả năng kết nối của một thiết bị nguồn đến một thiết bị đích
• Chính sách kết nối user-to-machine: quy định khả năng kết nối của các thiết bị của một nhân viên đến một thiết bị đích

​

Thêm chính sách

1

2

3

4

5

Chọn cổng kết nối.

Ví dụ: DNS (53), FTP (21), HTTPS (443), SSH (22), Telnet (23),…

6

Chọn thời gian áp dụng chính sách (nếu cần)

Có thể chọn thêm khung thời gian muốn Chặn/Cho phép kết nối bằng cách bấm vào lựa chọn Cho phép kết nối theo khung thời gian đặt tần suất và thời gian cụ thể cho chính sách.

7