Xác thực hiện đại cho Bộ Không quân Hoa Kỳ

Sự phát triển của MFA trong toàn Bộ Quốc phòng Hoa Kỳ

Việc sử dụng Common Access Card (Thẻ truy cập chung – CAC) cho xác thực không phải lúc nào cũng thực tế hoặc khả thi đối với mọi quân nhân Không quân Hoa Kỳ (U.S. Air Force Airman), Guardian, nhân viên, nhà thầu và đối tác thực hiện nhiệm vụ. Các chỉ thị như National Security Memorandum (Bản ghi nhớ An ninh Quốc gia) / NSM-8, cùng với sự gia tăng các cuộc tấn công mạng từ các quốc gia đối địch cho tới các tổ chức tội phạm, đã buộc Bộ Quốc phòng Hoa Kỳ (DoD) phải triển khai các phương thức xác thực chống phishing như một phần của kiến trúc Zero Trust Architecture, đồng thời tạo ra yêu cầu hiện đại hóa xác thực trên toàn bộ Bộ Quốc phòng (DoD).

Mặc dù CAC đáp ứng cấp độ bảo đảm cao nhất cho xác thực đa yếu tố (MFA) khi sử dụng hạ tầng khóa công khai DoD Public Key Infrastructure (PKI), hiện đang xuất hiện ngày càng nhiều tình huống yêu cầu cùng mức độ bảo đảm nhưng CAC lại không khả dụng hoặc không thực tế để triển khai. Các tình huống này bao gồm truy cập an toàn cho làm việc từ xa (telework), BYOAD (Bring Your Own Approved Devices), môi trường liên minh và đối tác nhiệm vụ không đủ điều kiện sử dụng CAC, các mạng air-gapped (khoảng trống không khí) / isolated networks (mạng cô lập), thiết bị dùng chung và các tình huống chiến thuật ở nước ngoài, nơi việc sử dụng CAC có thể vô tình làm lộ danh tính.

Ví dụ, khả năng hỗ trợ đầu đọc CAC trên điện thoại di động hoặc máy tính bảng còn hạn chế hoặc gần như không tồn tại, trong khi việc làm việc từ xa với đầu đọc CAC lại khiến thiết bị có nguy cơ bị phần mềm độc hại tấn công.

Ngày càng có nhu cầu lớn đối với các giải pháp “turnkey” tiết kiệm chi phí nhằm đáp ứng nhu cầu hiện tại cũng như bảo đảm khả năng mở rộng cho các yêu cầu xác thực trong tương lai — bao gồm cả những yêu cầu hiện đang được DoD xem xét chính sách như các tiêu chuẩn xác thực Fast Identity Online (Xác thực nhanh trực tuyến – FIDO).

Không phải mọi MFA đều được tạo ra như nhau

Đối với những trường hợp mà CAC bị hạn chế hoặc không thực tế, việc quay lại sử dụng tên người dùng và mật khẩu hoặc MFA truyền thống là vô cùng rủi ro. Tên người dùng và mật khẩu rất dễ bị tấn công, trong khi các phương thức xác thực di động truyền thống như OTP, SMS và ứng dụng push notification không có khả năng chống phishing.

Các tài khoản sử dụng MFA nhưng không dựa trên các giao thức chống phishing vẫn có nguy cơ bị đánh cắp thông tin xác thực.

Bản dự thảo Hướng dẫn Định danh Kỹ thuật số (Digital Identity Guidelines) của Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (National Institute of Standards and Technology – NIST) (SP 800-63-4), được thiết kế nhằm hướng dẫn các cơ quan chính phủ về bảo đảm danh tính số và xác thực, đã nêu rõ các yêu cầu kỹ thuật đối với xác thực chống phishing, đồng thời công nhận hai phương thức đáp ứng tiêu chuẩn này gồm:

  • Channel binding (Liên kết kênh), chẳng hạn như Smart Card dựa trên PKI
  • Verifier name binding (Liên kết tên trình xác thực), chẳng hạn như thông tin xác thực và authenticator dựa trên Fast Identity Online (FIDO)

Fast Identity Online (Xác thực nhanh trực tuyến – FIDO) là gì?

FIDO2 là một tiêu chuẩn xác thực mở được phát triển bởi FIDO Alliance, bao gồm đặc tả Web Authentication (WebAuthn API) của W3C và giao thức Client to Authentication Protocol (CTAP). CTAP là giao thức tầng ứng dụng được sử dụng để giao tiếp giữa client (trình duyệt) hoặc nền tảng (hệ điều hành) với authenticator bên ngoài như khóa bảo mật phần cứng.

Các tùy chọn xác thực FIDO2 bao gồm công cụ xác thực một yếu tố mạnh (không cần mật khẩu), xác thực hai yếu tố và xác thực đa yếu tố. Yubico là một trong những đơn vị đóng góp cốt lõi cho giao thức xác thực mở FIDO2.

YubiKey cung cấp MFA chống phishing đã được xác thực FIPS

Yubico cung cấp YubiKey đạt chứng nhận FIPS 140-2 – một khóa bảo mật phần cứng chống phishing đã được DoD phê duyệt, hỗ trợ xác thực đa yếu tố và không cần mật khẩu ở cấp độ bảo đảm cao nhất theo Homeland Security Presidential Directive 12 (HSPD 12).

Homeland Security Presidential Directive 12 (HSPD-12) là một tiêu chuẩn bắt buộc trên toàn chính phủ Hoa Kỳ nhằm thiết lập và phát hành các hình thức nhận dạng an toàn, đáng tin cậy cho nhân viên liên bang và nhà thầu.

YubiKey được phê duyệt để sử dụng như một công cụ xác thực MFA cho các hệ thống thông tin DoD Unclassified và Secret trong các trường hợp CAC không khả dụng hoặc không phù hợp, bằng cách tận dụng thông tin xác thực phái sinh từ thẻ CAC (derived CAC credentials). Biên bản ghi nhớ của Văn phòng Giám đốc Thông tin của Bộ Quốc phòng Hoa Kỳ (DoD OCIO) trên thông tin xác thực hạ tầng khóa công khai trên di động (PKI) ngày 19 tháng 12 năm 2019 cũng đã phê duyệt YubiKey như một xác thực di động dùng để cấp phát thông tin xác thực hạ tầng khóa công khai di động của Bộ Quốc phòng Mỹ. YubiKey hỗ trợ thông tin xác thực dẫn xuất và cung cấp cấp độ bảo mật cao nhất cần thiết để chống lại các cuộc tấn công hiện đại, đồng thời mang đến tính linh hoạt để bảo vệ ngay cả những môi trường phức tạp nhất từ mạng air-gapped (khoảng trống không khí) cho tới làm việc từ xa và dịch vụ đám mây – tất cả chỉ với một khóa duy nhất. Với khả năng hỗ trợ đa giao thức bao gồm Smart Card (CAC), FIDO U2F, FIDO2, OTP và OpenPGP, YubiKey hỗ trợ cả kiến trúc cũ lẫn hiện đại chỉ với một giải pháp duy nhất, đồng thời đóng vai trò như cầu nối tương lai tới các tiêu chuẩn xác thực FIDO hiện đại.

Bảo mật cho người dùng không đủ điều kiện CAC

Những nhân sự không đủ điều kiện sử dụng CAC như người phụ thuộc, nhân viên Quỹ phi ngân sách (Nonappropriated Funds) và các đối tượng yêu cầu truy cập bên thứ ba vẫn cần được truy cập an toàn tới các hệ thống của Bộ Không quân Hoa Kỳ (Department of Air Force – DAF). Để đáp ứng nhu cầu này, DoD đã phê duyệt YubiKey là một trong ba giải pháp MFA thay thế khi PKI không khả thi – một giải pháp thay thế CAC đạt chuẩn FIPS 140-2, cho phép nhân sự không có CAC hoặc thiết bị cá nhân không phải Thiết bị do Chính phủ cấp phát (Government-Furnished Equipment – GFE) trong môi trường BYOD xác thực an toàn tới mạng DoD.

Bảo mật cho SCIFs và mạng air-gapped (khoảng trống không khí)

Mạng air-gapped (khoảng trống không khí) được tách biệt hoàn toàn khỏi bên ngoài, khiến việc xác thực người dùng thông qua dữ liệu truyền trên mạng trở nên khó khăn. Nhiều hệ thống air-gapped (khoảng trống không khí) hiện nay vẫn sử dụng tên người dùng và mật khẩu hoặc kết hợp giữa mật khẩu và danh tính số. YubiKey giúp bảo vệ các mạng air-gapped khỏi nguy cơ xâm nhập bằng cách cung cấp MFA chống phishing hoạt động hiệu quả trong môi trường mạng cô lập và môi trường hạn chế thiết bị di động, bởi chúng không cần kết nối mạng, sóng di động hay pin để hoạt động. YubiKey tương thích với Giải pháp liên miền (Cross Domain Solution – CDS)Bảo mật đa mức (Multi-Level Security – MLS), cho phép xác thực người dùng mà không cần truyền dữ liệu giữa các hệ thống.

Bảo mật cho các đối tác nhiệm vụ

Các đối tác liên minh và “Five Eyes” (FVEY) sử dụng thông tin xác thực PKI để xác thực tới hệ thống DoD, tuy nhiên các đối tác nhiệm vụ không phải lúc nào cũng đủ điều kiện sử dụng CAC. YubiKey là giải pháp mà DAF có thể quản lý linh hoạt ở cấp đơn vị nhằm hỗ trợ quyền truy cập dữ liệu cần thiết cho các nhiệm vụ, đồng thời cung cấp xác thực mạnh và chống phishing cho các đối tác nhiệm vụ tại tactical edge (biên chiến thuật). Là một trình xác thực nhiều gia thức, YubiKey mang đến sự linh hoạt và khả năng cá nhân hóa cho các mạng liên minh yêu cầu thông tin xác thực của Bộ Quốc phòng Hoa Kỳ dành cho đối tác nhiệm vụ. Các mạng liên minh có thể tự tạo và quản lý credential nội bộ, cấp phát chúng lên YubiKey và cung cấp cho các đối tác cần truy cập tài nguyên DoD trong phạm vi trách nhiệm (Area of Responsibility – AoR) tương ứng. Điều này bảo đảm rằng chỉ những credential được cấp phát nội bộ mới có thể sử dụng để xác thực trong mạng Bộ Tư lệnh Tác chiến (Combatant Command) tương ứng.

Ngoài ra, nhiều tùy chọn credential được hỗ trợ: tactical PKI hỗ trợ thông tin xác thực dựa trên chứng chỉ (certificate-based credential), trong khi các thành phần Quản lý Danh tính, Chứng chỉ và Truy cập (Identity Credential and Access Management – ICAM) khác có thể cấp phát FIDO2 credential. Cả hai loại credential này đều đáp ứng yêu cầu xác thực chống phishing.

Bảo mật cho người dùng đặc quyền

Việc bảo đảm truy cập chống phishing an toàn tới dữ liệu classified, secret và thông tin cá nhân là cực kỳ quan trọng đối với những người dùng đặc quyền không thể sử dụng CAC để xác thực. YubiKey cung cấp phương thức xác thực thay thế có mức bảo đảm cao nhất, có thể dùng để xác thực người dùng đặc quyền trên cả ứng dụng cũ và hiện đại. Thiết kế phần cứng của YubiKey cho phép lưu trữ bí mật xác thực trên chip bảo mật chuyên dụng không thể sao chép hoặc xuất ra ngoài, từ đó mang lại cấp độ bảo mật cao nhất cho việc xác thực người dùng đặc quyền. YubiKey cũng có thể được sử dụng cho step-up authentication (xác thực bậc thang) đối với các ứng dụng yêu cầu bảo mật cao. Các quản trị viên tenant Microsoft 365 của DoD không được phép sử dụng credential DoD chính của họ cho các tác vụ hằng ngày và bảo trì. Microsoft Azure hỗ trợ đăng ký YubiKey như một FIDO2 authenticator. Nhờ đó, quản trị viên có thể nhanh chóng đăng ký YubiKey cho các vai trò đặc quyền để đáp ứng yêu cầu xác thực chống phishing. Với vai trò là FIDO2 token, YubiKey sử dụng cặp khóa public/private gắn với URL tenant nhằm bảo đảm xác thực mạnh mẽ.

Bảo mật cho nhân viên văn phòng

Desktop Anywhere là một máy ảo an toàn có thể được truy cập từ bất kỳ kết nối Internet thương mại nào. Khả năng này mang đến trải nghiệm desktop đồng nhất cho nhân viên dân sự chính phủ và quân nhân dù đang ở văn phòng hay làm việc từ xa. YubiKey hỗ trợ mạnh mẽ khả năng này bằng cách cung cấp trải nghiệm xác thực đơn giản cho người dùng đã đăng ký, bất kể họ sử dụng thiết bị nào để bắt đầu phiên làm việc từ xa.

Bảo mật cho telework (người làm việc từ xa) và BYOAD

Việc hỗ trợ teleworker và BYOD bằng CAC tạo ra nhiều phức tạp. Mặc dù xác thực dựa trên mật khẩu có thể đơn giản hóa truy cập từ xa, nhưng việc phụ thuộc vào xác thực một yếu tố không đáp ứng được yêu cầu Zero Trust security và xác thực chống phishing. May mắn là YubiKey hoạt động tương thích với các giải pháp Quản lý Danh tính và Truy cập (Identity and Access Management – IAM)Cung cấp danh tính (Identity Provider – IdP) hàng đầu để cung cấp truy cập chống phishing cho nhân viên làm việc từ xa và hybrid mà không cần thiết bị hỗ trợ bổ sung.

Đối với thành viên Lực lượng Không gian (Guardians), Không quân Thường trực (Active Airmen), Không quân Dự bị (Reserve Airmen)Lệ binh Quốc gia Không quân (National Guard Airmen), giải pháp này mang lại khả năng truy cập đáng tin cậy, linh hoạt và an toàn tới tài nguyên DAF bằng giấy chứng nhận nguồn gốc thuần chủng. Các tính năng như Desktop Anywhere giúp quân nhân truy cập dịch vụ từ nhà mà không còn phải phụ thuộc vào CAC và đầu đọc CAC riêng biệt. Trong trường hợp nhân viên làm việc từ xa và hybrid được cấp dịch vụ GFE, YubiKey cũng có thể hoạt động như portable root of trust (gốc rễ tin cậy di động) để bảo đảm thiết bị không bị can thiệp trong quá trình vận chuyển.

YubiKey có tính linh hoạt cao khi hỗ trợ nhiều loại thiết bị di động, máy trạm được quản lý hoặc không được quản lý, bao gồm Chromebook và điện thoại cá nhân. Khi được cấp phát DoD Purebred credentials, YubiKey trở thành portable root of trust cho danh tính của quân nhân, giúp việc xác thực trở nên dễ dàng hơn bất kể loại thiết bị sử dụng.

Từ tháng 2/2020 đến tháng 6/2021, thông qua khoản tài trợ NIST do Yubico quản lý, Cục Quân sự và Hải quân Bang New York (State of New York Division of Military and Naval Affairs – DMNA) đã tăng cường an ninh mạng cho ứng dụng hệ thống mạng cục bộ trong thảm họa (Disaster Local Area Network) bằng cách triển khai xác minh danh tính từ xa sử dụng ID.me và YubiKey cho MFA. Tiếp nối dự án này, Không quân Vệ binh Quốc gia (Air National Guard) đã triển khai thử nghiệm YubiKey với thông tin xác thực phái sinh Purebred của Cục Hệ thống Thông tin Phòng thủ (Defense Information Systems Agency Purebred) trên thiết bị cá nhân cho 1.000 Airmen tại 13 đơn vị ANG thực hiện nhiệm vụ máy bay điều khiển từ xa.

Trong vòng 17 tháng, dự án đã triển khai phần mềm quản lý chuỗi cung ứng và đặt hàng YubiEnterprise Delivery (YED), đồng thời đào tạo nhân sự quản lý định danh, thông tin xác thực và truy cập của Vệ binh Quốc gia New York (New York National Guard). Từ tháng 8 đến tháng 10/2023, phối hợp với chương trình proof of concept (chương trình thử nghiệm ý tưởng) của Bộ Tư lệnh Không quân Dự bị Mỹ (Air Force Reserve Command – AFRC/A4), Yubico đã đào tạo 28 đặc vụ Purebred tại 35 đơn vị Lực lượng Không quân Dự bị Mỹ triển khai iPad dùng chung trong các bộ phận đội Cứu hỏa và Cứu nạn (Fire Rescue Group), đội Bảo trì (Maintenance Group)đội Hỗ trợ nhiệm vụ (Mission Support Group).

Nhờ khả năng quản lý YubiKey ở cấp đơn vị, nhân sự ít phụ thuộc hơn vào bộ phận help desk trong việc xử lý các sự cố liên quan tới PIN Unlock Key.

Bảo mật cho thiết bị và máy trạm dùng chung

Không quân, Lực lượng Không gian, nhân viên dân sự DoD và nhà thầu sử dụng máy trạm hoặc thiết bị dùng chung như túi bay điện tử (Electronic Flight Bags – EFBs) và eTools iPads có thể hưởng lợi từ việc sử dụng YubiKey như một portable root of trust để xác thực an toàn. Họ có thể xác thực vào mạng bằng Smart Card credential đáng tin cậy lưu trên YubiKey, qua đó chứng minh mình là người dùng hợp lệ. Một YubiKey duy nhất có thể hoạt động trên nhiều thiết bị dùng chung khác nhau như desktop, laptop, thiết bị di động, tablet và notebook, cho phép người dùng sử dụng cùng một khóa khi di chuyển giữa các thiết bị. YubiKey cũng có thể dễ dàng lập trình lại, phù hợp cho các môi trường làm việc theo ca hoặc người dùng tạm thời. Việc sử dụng máy trạm và thiết bị di động dùng chung đang ngày càng phổ biến trong DAF. Bằng cách xây dựng mô hình tài nguyên dùng chung cho đội ngũ bảo trì và phi hành đoàn, DAF có thể giảm tổng chi phí sở hữu thiết bị. Tuy nhiên, thiết bị dùng chung vẫn gặp thách thức trong việc hỗ trợ nhiều người dùng, mỗi người đều yêu cầu credential DoD để xác thực. Bằng cách chuyển việc lưu trữ credential từ thiết bị sang authenticator phần cứng như YubiKey, mỗi cá nhân có thể được cấp một khoá bảo mật riêng để xác thực trên bất kỳ thiết bị dùng chung nào. Người dùng không còn phải lo lắng về việc chọn đúng thiết bị chứa credential mềm tương ứng của mình.

Mua khóa YubiKey ở đại lý chính hãng

Việc mua phải khóa YubiKey từ các nhà phân phối không rõ nguồn gốc có thể khiến bạn gặp phải hàng nhái và thiết bị không tương thích hoặc không được bảo hành chính hãng. Vì vậy, hãy lựa chọn khóa YubiKey tại DigiBit – Đại lý ủy quyền chính thức của Yubico tại Việt Nam.

Giỏ hàng0
Không có sản phẩm nào trong giỏ hàng!
Tiếp tục mua hàng