Giải pháp quản lý truy cập đặc quyền từ xa Safous Remote PAM

Bởi Huynh Sang | 03/30/2026 | 0

I. Giới thiệu tổng quan:

1.1/ Giới thiệu về Safous

Safous vừa là tên của Đội An ninh mạng Toàn cầu của IIJ, vừa là tên của bộ giải pháp. Là một phần của Tập đoàn Internet Initiative Japan Inc. (IIJ), Safous chuyên về bảo mật truy cập, giúp các tổ chức bảo vệ các tài nguyên quan trọng, đồng thời cho phép kết nối an toàn và hiệu quả giữa người dùng, thiết bị và môi trường.

Sản phẩm All-in-one remote PAM :

_ Remote Privileged Access Management

_ 3rd Party Vendor Access Management

_ Secure Remote Access for Critical Infrastructure

Vào năm 2024 và 2025, Safous đã được trao giải ở 12 hạng mục tại Giải thưởng Global InfoSec và Giải thưởng Cyber ​​Excellence.

 

1.2/ Thách thức bảo mật hiện nay

Các tổ chức hiện nay đang đối mặt với nhiều thách thức bảo mật:

  • Gia tăng truy cập từ xa và workforce phân tán.
  • Nhiều vendor và đối tác cần truy cập hệ thống nội bộ.
  • VPN truyền thống tồn tại nhiều lỗ hổng bảo mật.
  • Khó kiểm soát và audit hoạt động của tài khoản đặc quyền.

Theo nhiều nghiên cứu, hơn 60% các cuộc tấn công ransomware liên quan tới việc khai thác tài khoản đặc quyền.

Do đó, việc triển khai PAM và Zero Trust Access là yêu cầu thiết yếu để bảo vệ hạ tầng CNTT hiện đại.

II. Giới thiệu về PAM:

PAM (Privileged Access Management) là một tập hợp giải pháp và công nghệ bảo mật được thiết kế để kiểm soát, giám sát, và bảo vệ quyền truy cập đặc quyền (privileged accounts) trong hệ thống CNTT của tổ chức.

Các tài khoản đặc quyền thường có quyền truy cập cao nhất (administrator, root, domain admin…), nếu bị lạm dụng hoặc xâm nhập sẽ dẫn đến rủi ro nghiêm trọng như:

Mất dữ liệu nhạy cảm

Kiểm soát toàn bộ hạ tầng CNTT

Triển khai mã độc, ransomware

Gây gián đoạn hệ thống sản xuất

2.1/ PAM Lifecycle

Trong thế giới bảo mật, khi nói về PAM Lifecycle (vòng đời quản lý đặc quyền), ta thường nhấn mạnh đến chuỗi hoạt động liên tục mà tổ chức cần triển khai để quản lý tài khoản đặc quyền (privileged accounts), thông tin định danh và quyền truy cập một cách an toàn.

+ Define (Xác định)

+ Discover (Khám phá)

+ Manage and Protect (Quản lý & Bảo vệ)

+ Monitor (Giám sát)

+ Detect Abnormal Usage (Phát hiện sử dụng bất thường)

+ Respond to Incidents (Ứng phó sự cố)

+ Review and Audit (Đánh giá & Kiểm toán)

2.2/ Các thành phần chính của PAM

  • Credential Vault (Kho lưu trữ định danh an toàn)
  • Password Management & Rotation (Quản lý & luân phiên mật khẩu)
  • Session Management (Quản lý & Ghi hình phiên truy cập)
  • Access Control (Kiểm soát truy cập)
  • Privileged Elevation & Delegation (Nâng quyền & Ủy quyền đặc quyền)
  • Audit & Reporting (Kiểm toán & Báo cáo)
  • Analytics & Threat Detection (Phân tích & Phát hiện rủi ro)
  • Integration & API (Tích hợp)

III. Giải pháp Safous Remote PAM (RPAM)

3.1/ Giới thiệu chung về sản phẩm

Safous là một giải pháp Remote PAM – quản lý và bảo mật truy cập đặc quyền từ xa – được thiết kế cho các doanh nghiệp và tổ chức có hệ thống quan trọng, rủi ro cao. Safous khác với PAM truyền thống ở chỗ: hỗ trợ remote access (vendor, admin từ xa) theo mô hình Zero Trust.

Safous áp dụng Zero Trust Architecture để thay thế VPN truyền thống, cho phép truy cập từ xa an toàn hơn. Người dùng và thiết bị được xác thực qua Safous Global Access Points, kết nối đến ứng dụng qua App Gateway với nguyên tắc Least Privilege: chỉ danh tính đã xác minh mới được phép truy cập ứng dụng được cấp quyền, thay vì toàn mạng.

3.2/ Tính năng chính của Safous

  • Identity & Access Management (IAM): Quản lý danh tính, xác thực người dùng

+ Xác thực qua MFA (QR code, SMS, email)

+ Single Sign-On (SSO)

+ Tích hợp với các Identity Provider như Google Workspace, LDAP, IdaaS, Okta, …

 

  • Zero Trust Network Access

+ Truy cập ứng dụng thay vì truy cập toàn bộ mạng

+ Micro-segmentation: chia nhỏ mạng, cho phép kiểm soát truy cập theo vùng để giảm thiểu rủi ro lateral movement (tấn công lây lan trong mạng).

+ Device posture: kiểm tra trạng thái bảo mật của thiết bị như antivirus, firewall, OS,…

 

  • Privilegend Access Management:

+ Credential Vault: lưu trữ thông tin login được mã hóa. Người dùng có thể truy cập hệ thống mà không cần biết mật khẩu, tránh rò rỉ thông tin đăng nhập.

+ Just-in-Time access: cơ chế cấp quyền truy cập tạm thời theo nhu cầu, cấp quyền trong 1 khoảng thời gian.

+ Password rotation: tự động thay đổi mật khẩu định kỳ tăng cường bảo mật.

 

  • Session Monitoring & Audit:

+ Record lại các session remote (Window/Linux).

+ Monitoring session trong thời gian thực.

+ Audit logs

 

3.3/ Cách hoạt động của Safous

  • Luồng truy cập minh họa

+ Users (người dùng) → sử dụng Devices (PC, mobile, IoT).

+ Truy cập qua Browser Access hoặc Agent Access.

+ Đi vào Safous Global Access Points → vượt qua firewall qua TLS Tunnel an toàn.

+ Vào Safous App Gateway (cài đặt trên Linux server/VM của khách hàng).

 

  • Control Plane (lớp điều khiển)

+ Identity Management → quản lý danh tính, xác thực.

+ Secure Connectivity → tạo kênh TLS an toàn, thay thế VPN.

+ Privilege Management → kiểm soát tài khoản đặc quyền, JIT access.

 

  • Đích đến (Applications)

+ Có thể là On-Prem Apps (ứng dụng nội bộ, data center).

+ Hoặc Cloud Apps (AWS, GCP, Azure).

 

Hình Topology của Safous

IV. So sánh Safous với các sản phẩm PAM khác

Hình vị trí xếp hạng PAM của Gartner năm 2024

 

Chúng ta có bảng so sánh Safous với CyberArk, BeyondTrust, Delinea như sau:

Tiêu chí Safous CyberArk BeyondTrust Delinea
Trọng tâm sản phẩm Remote PAM (PRAM), Zero Trust Access, OT/IoT remote access, API security Enterprise PAM chuẩn mực (Vault, Session Manager, Conjur DevOps) PAM toàn diện + Endpoint Privilege Management (EPM), RDP/SSH session control PAM kết hợp Vault + Secret Server, dễ triển khai SaaS
Vault/Secret Management Cơ bản, thiên về Credential Broker + Just-in-Time access (ít lưu mật khẩu) Rất mạnh (Vault + Password Rotation + Discovery + Conjur) Mạnh, hỗ trợ discovery, rotation, session management Mạnh (Secret Server), tập trung vào dễ dùng, SaaS-first
Zero Trust Native ZTNA, thay VPN, agentless/browser-based Không native, cần kết hợp thêm giải pháp khác (CyberArk Identity/ZTNA vendor) Có tích hợp, nhưng PAM truyền thống vẫn là trọng tâm Có tích hợp với IAM, nhưng không mạnh như Safous
Remote Vendor / Third-party Access Điểm mạnh: Agentless, browser access, session recording cho vendor/OT Có thể triển khai, nhưng nặng nề, thường cho admin nội bộ Hỗ trợ, nhưng thiên về user nội bộ Hỗ trợ qua Secret Server, không chuyên biệt vendor
OT / Industrial Access Có module Industrial Secure Remote Access (SCADA, ICS) Không có module OT riêng Không chuyên OT, tập trung IT Không có module OT riêng
DevOps / API Security Có WAAP (Web/API protection), nhưng secret management chưa sâu Conjur: leader DevOps secret management Hỗ trợ plugin, integration nhưng không sâu bằng CyberArk Có DevOps secrets cơ bản, dễ dùng, nhưng không mạnh
Triển khai SaaS/Cloud-native, có agentless, cài App Gateway tại Linux VM khách hàng On-prem/Hybrid/Cloud, phức tạp, nhiều module On-prem/Cloud, scale enterprise, EPM mạnh Cloud SaaS mạnh, dễ triển khai cho SMB & mid-size
Chi phí Hợp lý hơn, subscription SaaS, entry cost thấp Cao nhất, chi phí license + dịch vụ triển khai lớn Trung bình – cao (nhưng giá trị enterprise lớn) Trung bình, phù hợp SMB và mid-market
Khách hàng mục tiêu Doanh nghiệp vừa/lớn ở châu Á, cần OT/remote vendor access, Zero Trust thay VPN Enterprise lớn, ngân hàng, tài chính, chính phủ, compliance nặng Enterprise IT & OT, chú trọng endpoint + session control SMB, mid-size enterprise, cần PAM nhanh và dễ triển khai

 

_ Safous: Mạnh ở Zero Trust native + Remote PAM/PRAM + OT module + API security, phù hợp tổ chức ở châu Á cần remote access an toàn và nhanh.

_ CyberArk: Chuẩn mực PAM toàn cầu, mạnh nhất về Vault + Password rotation + DevOps (Conjur), nhưng triển khai phức tạp, chi phí cao.

_ BeyondTrust: Điểm mạnh ở PAM + Endpoint Privilege Management (EPM), enterprise IT, tập trung kiểm soát cả endpoint và server.

_ Delinea: PAM dễ dùng, SaaS-friendly, phù hợp SMB/mid-market, không phức tạp như CyberArk

V. Đối tượng khách hàng tiềm năng của Safous

Đối tượng khách hàng tiềm năng của Safous sẽ tập trung vào các tổ chức/doanh nghiệp có nhu cầu cao về kiểm soát truy cập đặc quyền, bảo mật dữ liệu, và quản lý truy cập từ xa

  • Public Sector (chính phủ, cơ quan nhà nước).
  • Healthcare (y tế, bệnh viện – dữ liệu bệnh án).
  • Telco (viễn thông).
  • BFSI (Banking, Financial Services & Insurance – ngân hàng, tài chính, bảo hiểm).
  • Manufacturing / Industrial (Sản xuất công nghiệp, hệ thống OT/SCADA)
  • Oil & Gas (dầu khí).
  • Mining (khai khoáng).
  • Critical Infrastructure (hạ tầng trọng yếu: điện, nước, giao thông, quân sự…).
  • SMB cần bảo mật cao.
  • ENT có workflow phân tán / làm việc remote.

NTS ICT là nhà phân phối duy nhất của Safous tại Việt Nam

Dis cert

Chuyên mục Giải pháp và được gắn thẻ , ,

Để lại bình luận