UniFiController và An ninh của bạn
Tóm tắt MKController cung cấp bảo mật cấp doanh nghiệp cho quyền truy cập UniFi Controller qua ba lớp: truy cập từ xa được mã hóa qua đường hầm VPN với MFA và danh sách trắng IP động, cấp phép thông tin đăng nhập người dùng tự động với quyền hạn phạm vi giới hạn qua UniFi API, và mã hóa SSL đầu cuối với gia hạn chứng chỉ tự động. Việc vô hiệu hóa người dùng trong MKController kích hoạt thu hồi thông tin đăng nhập ngay lập tức và hoàn toàn trong môi trường UniFi — khả năng không có sẵn natively trong UniFi Cloud Controller của chính Ubiquiti.
Bảo mật MKController cho UniFi có nghĩa là gì?
Bảo mật MKController cho UniFi là lớp quản trị truy cập kiểm soát cách người dùng xác thực, kết nối và vận hành UniFi Controller của bạn qua nền tảng đám mây MKController. Nó bao gồm xác thực (VPN + MFA), phân quyền (cấp phép người dùng với phạm vi giới hạn) và bảo vệ dữ liệu (SSL đầu cuối) — mà không cần quản lý thủ công chứng chỉ, quy tắc tường lửa hay cơ sở dữ liệu người dùng.
Bảo mật truy cập từ xa hoạt động như thế nào?
MKController định tuyến tất cả truy cập từ xa đến UniFi Controller của bạn qua đường hầm VPN tiên tiến. Truy cập yêu cầu cả tài khoản MKController hợp lệ và xác minh MFA, với danh sách trắng IP động được áp dụng ở cấp độ phiên. Không có phiên nào chưa được xác minh có thể tiếp cận backend UniFi của bạn.
Mô hình này loại bỏ bề mặt tấn công phổ biến nhất cho các triển khai UniFi: sự tiếp xúc trực tiếp của giao diện web UniFi với internet. Controller chỉ có thể truy cập qua cơ sở hạ tầng được mã hóa của MKController.
Cấp phép thông tin đăng nhập người dùng hoạt động như thế nào?
Khi bạn thêm người dùng trong MKController, thông tin đăng nhập của họ được cấp phép trực tiếp vào UniFi Controller qua API — với quyền hạn được xác định trước, phạm vi giới hạn gắn với các trang web cụ thể, nhóm AP hoặc vai trò vận hành. Quá trình này được tự động hóa hoàn toàn, loại bỏ việc nhập thủ công, bảng tính thông tin đăng nhập hoặc lệnh SSH.
Quy trình cấp phép có thể lặp lại và mở rộng quy mô trong các triển khai đa trang web. Mức độ tự động hóa thông tin đăng nhập theo API này không có sẵn natively trong UniFi Cloud Controller của Ubiquiti, yêu cầu quản lý người dùng thủ công cho mỗi controller.
Điều gì xảy ra khi vô hiệu hóa người dùng?
Khi người dùng bị vô hiệu hóa hoặc xóa trong MKController — do thay đổi vai trò, hết hợp đồng hoặc sự cố bảo mật — thông tin đăng nhập của họ bị thu hồi ngay lập tức và hoàn toàn khỏi môi trường UniFi. Không có quyền hạn còn lại, phiên ma hay token truy cập đang treo. Việc thu hồi là theo thời gian thực, chính xác như phẫu thuật và được ghi lại đầy đủ.
MKController so sánh với UniFi Cloud về bảo mật như thế nào?
| Khả năng | UniFi Cloud (gốc) | MKController |
|---|---|---|
| Xác thực truy cập từ xa | Tên người dùng/mật khẩu | Đường hầm VPN + MFA + danh sách trắng IP động |
| Cấp phép thông tin đăng nhập người dùng | Thủ công cho mỗi controller | Tự động qua API với quyền hạn phạm vi giới hạn |
| Thu hồi thông tin đăng nhập | Thủ công | Ngay lập tức và hoàn toàn khi vô hiệu hóa người dùng |
| Phạm vi người dùng đa trang web | Giới hạn | Giới hạn theo trang web, nhóm AP hoặc vai trò |
| Quản lý chứng chỉ SSL | Thủ công hoặc tự ký | Gia hạn tự động, HTTPS được thực thi ở mọi nơi |
Dữ liệu được mã hóa như thế nào?
Tất cả các phiên và luồng dữ liệu trong môi trường MKController được bảo vệ bởi chứng chỉ SSL tiêu chuẩn công nghiệp với gia hạn tự động. HTTPS được thực thi trên tất cả các giao diện, đảm bảo lưu lượng quản lý được mã hóa từ trình duyệt của bạn đến backend UniFi. Chứng chỉ tự ký không được sử dụng — mỗi kết nối được xác thực với chứng chỉ hợp lệ, tự động gia hạn.
Tại sao thu hồi thông tin đăng nhập tự động quan trọng
Trong thiết lập UniFi truyền thống, khi một kỹ thuật viên rời nhóm hoặc hợp đồng hết hạn, quản trị viên phải đăng nhập thủ công vào từng UniFi Controller và xóa tài khoản của người dùng đó. Trong các triển khai đa trang web với hàng chục controller, điều này dễ xảy ra lỗi và thường bị bỏ qua — để lại nhân viên cũ hoặc đối tác cũ với thông tin đăng nhập đang hoạt động vô thời hạn.
Việc thu hồi ngay lập tức của MKController giải quyết điều này ở cấp độ cơ sở hạ tầng: vô hiệu hóa người dùng ở một nơi đồng thời xóa quyền truy cập khỏi tất cả các UniFi Controller liên kết, với nhật ký kiểm toán đầy đủ về sự kiện thu hồi.
Câu hỏi thường gặp
MKController có yêu cầu tôi quản lý chứng chỉ SSL thủ công không? Không. Tất cả chứng chỉ SSL được sử dụng bởi UniFi Controller của MKController đều được cấp phép và gia hạn tự động. HTTPS được thực thi trên tất cả các kết nối — không có bước gia hạn thủ công, không có cảnh báo hết hạn và không có nguy cơ kết nối quay trở lại HTTP không được mã hóa.
MFA (xác thực đa yếu tố) có bắt buộc đối với quyền truy cập UniFi không? MFA được thực thi ở cấp độ tài khoản MKController. Vì tất cả quyền truy cập UniFi Controller được định tuyến qua đường hầm VPN đã xác thực của MKController, MFA áp dụng cho mọi phiên quản lý UniFi — bất kể UniFi Controller có được cấu hình MFA hay không.
Điều gì xảy ra với cấu hình thiết bị UniFi nếu tôi mất quyền truy cập vào MKController? Các thiết bị UniFi đã được áp dụng giữ nguyên cấu hình hiện có và tiếp tục hoạt động bình thường. Chúng vẫn được quản lý bởi controller nhưng các tính năng quản trị đặc thù của MKController (cảnh báo, nhật ký kiểm toán, quản lý người dùng tập trung) sẽ không khả dụng cho đến khi quyền truy cập được khôi phục.
Tôi có thể kiểm tra ai đã truy cập các thiết bị UniFi cụ thể và khi nào không? Có. MKController ghi lại tất cả các sự kiện truy cập với phân bổ người dùng và dấu thời gian. Xem Lịch sử hành động để biết thêm về cách nhật ký kiểm toán hoạt động trên toàn nền tảng.
Có câu hỏi về cấu hình bảo mật UniFi hoặc cấp phép người dùng? Liên hệ với hỗ trợ MKController trên WhatsApp.
Câu hỏi? 📧 contato@mkcontroller.com