Thúc đẩy MFA cho các hoạt động an ninh nội địa và Lực lượng Vệ binh Quốc gia
Các phương thức xác thực truyền thống như tên người dùng, mật khẩu hoặc thậm chí là Thẻ Thông minh (Smart Card) thường không đáp ứng được yêu cầu trong những môi trường tác nghiệp đặc thù mà các chuyên gia An ninh Nội địa, thành viên Lực lượng Vệ binh Quốc gia, lực lượng ứng cứu khẩn cấp, nhà thầu và đối tác nhiệm vụ phải đối mặt. Khả năng hoạt động an toàn, liền mạch trên nhiều nền tảng là yếu tố mang tính sống còn, đặc biệt trong bối cảnh các cuộc tấn công mạng từ quốc gia đối địch, tổ chức tội phạm và các hình thức chiến tranh vùng xám (Gray Zone Warfare) ngày càng gia tăng.
Các hướng dẫn mới nhất, bao gồm National Security Memorandum-8 (NSM-8), đã nhấn mạnh việc áp dụng các phương thức xác thực chống lừa đảo (Phishing-Resistant Authentication) như một phần của kiến trúc Zero Trust toàn diện nhằm hiện đại hóa và tăng cường bảo mật cho các hoạt động tác chiến. Ngay cả những giải pháp được tin cậy rộng rãi như Common Access Card (CAC) của Bộ Quốc phòng Hoa Kỳ (DoD), vốn sử dụng hạ tầng khóa công khai (PKI) có mức độ bảo đảm cao, cũng đang dần bộc lộ những hạn chế trong các kịch bản vận hành hiện đại.
Cho dù đó là làm việc từ xa, chính sách Bring Your Own Approved Device (BYOAD), môi trường liên minh và đối tác nhiệm vụ, mạng cách ly hoàn toàn (Air-Gapped Network) hay các hoạt động chiến thuật ở nước ngoài, CAC thường gặp phải nhiều hạn chế. Ví dụ, khả năng hỗ trợ đầu đọc CAC trên điện thoại di động hoặc máy tính bảng còn hạn chế hoặc gần như không tồn tại. Ngoài ra, việc làm việc từ xa thông qua đầu đọc CAC cũng khiến thiết bị đối mặt với nguy cơ bị lây nhiễm phần mềm độc hại.
Trong những tình huống quan trọng như vậy, các giải pháp định danh thay thế như YubiKey đang ngày càng trở nên cần thiết.
Vì sao YubiKey đóng vai trò then chốt đối với nhiệm vụ
Đối với lực lượng Vệ binh Quốc gia và các đơn vị thực hiện nhiệm vụ an ninh nội địa, khả năng truy cập và chia sẻ thông tin một cách an toàn theo thời gian thực trên nhiều nền tảng có thể là yếu tố quyết định giữa sự sống và cái chết. Trong các tình huống khủng hoảng, các đội phản ứng cần có khả năng kết nối từ hiện trường sự cố tới các trung tâm chỉ huy quốc gia mà không bị trì hoãn.
Một YubiKey đã được cấp phát và cấu hình sẵn cho phép nhân sự liên cơ quan và liên khu vực pháp lý nhanh chóng truy cập các hệ thống trọng yếu, chia sẻ thông tin tình báo và duy trì nhận thức tình huống (Situational Awareness). Khả năng tương thích của YubiKey trên nhiều thiết bị và nền tảng đóng vai trò như một “bội số sức mạnh” (Force Multiplier), giúp tăng cường năng lực chỉ huy, kiểm soát và thông tin liên lạc ở mọi cấp độ — từ Trung tâm Điều hành Khẩn cấp (Emergency Operations Center – EOC) cho đến lực lượng tại hiện trường.
Việc trang bị YubiKey cho các quân nhân bán thời gian thuộc lực lượng Lục quân và Không quân Vệ binh Quốc gia, cũng như các chuyên gia An ninh Nội địa bao gồm Tuần duyên Hoa Kỳ (Coast Guard), Dịch vụ Quản lý Khẩn cấp (EMS) và các đơn vị liên quan khác, có thể loại bỏ những điểm nghẽn về mức độ sẵn sàng tác chiến, tạo điều kiện cho việc xác thực và kiểm soát nhân sự theo thời gian thực trong các thảm họa, đồng thời cung cấp một kênh truyền tải thông tin quan trọng tới cấp cộng đồng.
Tương tự, YubiKey cũng có thể mở ra luồng thông tin thiết yếu trong các môi trường đối tác nhiệm vụ bảo mật cao, vốn ngày càng trở nên quan trọng đối với các hoạt động ở cấp Liên bang, Tiểu bang, Chính quyền địa phương, các quốc gia đồng minh, liên minh quân sự và Chương trình Đối tác Tiểu bang (State Partnership Program – SPP).
Không phải mọi giải pháp MFA đều giống nhau
Trong những trường hợp mà CAC bị hạn chế hoặc không thực tế, chẳng hạn như các môi trường di động hoặc chiến thuật, việc quay lại sử dụng tên người dùng và mật khẩu hoặc các giải pháp MFA thế hệ cũ tiềm ẩn nhiều rủi ro. Tên người dùng và mật khẩu rất dễ bị tấn công, trong khi các phương thức xác thực dựa trên thiết bị di động như OTP, SMS hoặc ứng dụng thông báo đẩy không có khả năng chống lừa đảo. Các tài khoản sử dụng MFA không dựa trên các giao thức chống lừa đảo vẫn có nguy cơ bị đánh cắp thông tin xác thực.
Bằng việc triển khai YubiKey, các nhà lãnh đạo trong lĩnh vực an ninh nội địa và Lực lượng Vệ binh Quốc gia có thể bảo đảm đáp ứng các tiêu chuẩn an ninh mạng cao nhất trong khi vẫn duy trì tính linh hoạt trong vận hành.
Việc triển khai YubiKey không đơn thuần là một quyết định về CNTT mà còn là bước đi quan trọng để bảo vệ an ninh quốc gia, tăng cường phối hợp liên cơ quan và bảo đảm nhân sự có thể làm việc an toàn ở bất kỳ nơi đâu mà nhiệm vụ yêu cầu.
YubiKey cung cấp MFA chống lừa đảo đạt chứng nhận FIPS
Yubico cung cấp YubiKey đạt chứng nhận FIPS 140-2, một khóa bảo mật phần cứng cấp quân sự có khả năng chống lừa đảo và đã được Bộ Quốc phòng Hoa Kỳ phê duyệt. YubiKey cung cấp xác thực đa yếu tố và xác thực không mật khẩu với mức độ bảo đảm cao nhất theo Homeland Security Presidential Directive 12 (HSPD-12).
Với chuỗi cung ứng bảo mật tại Hoa Kỳ, YubiKey được phê duyệt sử dụng như một bộ xác thực MFA cho các hệ thống thông tin DoD ở cấp Unclassified và Secret, đồng thời đáp ứng các trường hợp mà CAC không khả dụng hoặc không phù hợp thông qua việc sử dụng các thông tin xác thực CAC dẫn xuất (Derived CAC Credentials).
YubiKey hỗ trợ thông tin xác thực dẫn xuất và cung cấp mức độ bảo mật cao nhất nhằm chống lại các cuộc tấn công hiện đại, đồng thời mang lại sự linh hoạt để bảo vệ cả những môi trường phức tạp nhất — từ mạng cách ly hoàn toàn đến làm việc từ xa và dịch vụ đám mây — chỉ với một thiết bị duy nhất. Nhờ hỗ trợ nhiều giao thức như Smart Card (CAC), FIDO U2F, FIDO2, OTP và OpenPGP, YubiKey hỗ trợ cả kiến trúc truyền thống lẫn hiện đại trong cùng một giải pháp, đồng thời đóng vai trò cầu nối lâu dài tới các tiêu chuẩn xác thực FIDO thế hệ mới. Một YubiKey duy nhất có thể cung cấp cả xác thực PKI và xác thực chống lừa đảo FIDO2/WebAuthn để xác thực người dùng một cách an toàn đối với các ứng dụng và dịch vụ trên thiết bị do chính phủ cấp phát (Government Furnished Equipment – GFE) hoặc thiết bị cá nhân như máy tính xách tay, máy tính để bàn, máy tính bảng và điện thoại di động.
Thay vì phải quản lý nhiều chứng chỉ số trên các thiết bị di động và CAC, YubiKey được triển khai với thông tin xác thực Purebred có thể hoạt động như một “gốc tin cậy di động” (Portable Root of Trust) trên nhiều thiết bị khác nhau, bao gồm thiết bị di động và môi trường BYOD/BYOAD.
Bảo mật làm việc từ xa và thiết bị cá nhân
Trong quá khứ, các lựa chọn sử dụng thiết bị cá nhân cho quân nhân bị hạn chế do chi phí cao và các lo ngại về bảo mật. Việc hỗ trợ làm việc từ xa và sử dụng thiết bị cá nhân làm gia tăng độ phức tạp cũng như chi phí triển khai, khiến việc áp dụng trên diện rộng trở nên khó khăn. YubiKey đơn giản hóa việc truy cập an toàn bằng khả năng tích hợp liền mạch với các giải pháp Quản lý Danh tính và Truy cập (IAM) và Nhà cung cấp Danh tính (IdP) hàng đầu hiện nay.
Đối với quân nhân, lực lượng ứng cứu khẩn cấp, nhân viên dân sự, nhà thầu và đối tác nhiệm vụ, YubiKey cung cấp một phương thức truy cập an toàn, linh hoạt và tiết kiệm chi phí tới các tài nguyên quân sự và liên cơ quan thông qua thông tin xác thực Purebred và nhiều giao thức xác thực khác. Điều này đồng nghĩa với việc các công cụ mạnh mẽ như dịch vụ máy tính để bàn ảo của Microsoft, cho phép quân nhân làm việc từ nhà, sẽ không còn yêu cầu CAC hoặc đầu đọc CAC bên ngoài. Ngay cả khi các thiết bị GFE được cấp cho nhân sự làm việc từ xa hoặc theo mô hình hybrid, YubiKey vẫn đóng vai trò như một gốc tin cậy di động nhằm bảo đảm thiết bị không bị xâm phạm trong quá trình vận chuyển và sử dụng.
YubiKey cũng hỗ trợ nhiều loại thiết bị được quản lý hoặc không được quản lý, bao gồm Chromebook, điện thoại cá nhân và máy trạm. Khi được cấp phát thông tin xác thực Purebred của DoD, YubiKey trở thành công cụ xác thực đáng tin cậy cho phép truy cập an toàn trên nhiều thiết bị khác nhau, đồng thời loại bỏ các chi phí lớn vốn gắn liền với các chương trình BYOD truyền thống.
Bảo mật cho các đối tác nhiệm vụ
YubiKey là giải pháp được phê duyệt mà các đối tác trong nước được ủy quyền có thể sử dụng để bảo vệ quyền truy cập vào các hệ thống thông tin trọng yếu như WebEOC, Homeland Security Information Network (HSIN) hoặc Joint Information Exchange Environment (JIEE) của Lực lượng Vệ binh Quốc gia. Không chỉ giới hạn trong phạm vi truy cập nội địa, YubiKey còn đóng vai trò là cầu nối dành cho các đối tác, lực lượng liên minh và quân đội đồng minh không đủ điều kiện sử dụng CAC, cung cấp một giải pháp xác thực an toàn cho các môi trường thực hiện nhiệm vụ trọng yếu. Là một bộ xác thực hỗ trợ đa giao thức, YubiKey mang đến sự linh hoạt và khả năng tùy chỉnh cần thiết để hỗ trợ các hoạt động huấn luyện sẵn sàng tác chiến, triển khai nhiệm vụ và các chương trình thuộc State Partnership Program (SPP). Các đơn vị có thể tự tạo, quản lý và cấp phát thông tin xác thực cục bộ lên YubiKey, từ đó bảo đảm quyền truy cập an toàn cho nhân sự hoạt động trong các mạng lưới đa khu vực pháp lý, liên cơ quan, đồng minh và liên minh. Cách tiếp cận này bảo đảm rằng chỉ những thông tin xác thực được phát hành tại địa phương mới được sử dụng để xác thực trong các hệ thống đã được phê duyệt, qua đó tăng cường cả tính bảo mật lẫn khả năng tương tác giữa các hệ thống.
Bảo mật cho người dùng đặc quyền
Việc bảo đảm quyền truy cập chống lừa đảo một cách an toàn tới các thông tin mật, thông tin tuyệt mật, dữ liệu nhạy cảm và thông tin cá nhân là yêu cầu đặc biệt quan trọng đối với những người dùng đặc quyền không thể xác thực bằng CAC. YubiKey cung cấp bộ xác thực thay thế có mức độ bảo đảm cao nhất, có thể được sử dụng để xác thực người dùng đặc quyền trên cả các ứng dụng truyền thống và hiện đại. Thiết kế phần cứng của YubiKey cho phép bí mật xác thực được lưu trữ trong một chip bảo mật chuyên dụng không thể sao chép hoặc đánh cắp, từ đó mang lại mức độ an toàn cao nhất cho quá trình xác thực người dùng đặc quyền.
Ngoài ra, YubiKey còn có thể được sử dụng để tăng cường cấp độ xác thực (Step-Up Authentication) đối với các ứng dụng yêu cầu bảo mật cao. Một trong những ưu tiên hàng đầu của các Giám đốc Công nghệ Thông tin (CIO) là bảo đảm triển khai MFA mạnh mẽ trong các mạng vận hành hoặc mạng cách ly hoàn toàn (Air-Gapped Networks) không thể tận dụng được mức độ bảo đảm cao của PKI. Những môi trường này đòi hỏi sự đổi mới và linh hoạt trong việc bổ sung MFA mạnh cho quản trị viên mạng, người dùng cuối và các vai trò đặc quyền khác. Ví dụ, các quản trị viên của Microsoft 365 trong môi trường DoD không được phép sử dụng thông tin xác thực chính thức của DoD cho các tác vụ quản trị và bảo trì hàng ngày. Do Microsoft Azure hỗ trợ đăng ký YubiKey như một bộ xác thực FIDO2, các quản trị viên có thể nhanh chóng triển khai YubiKey cho các vai trò đặc quyền nhằm đáp ứng yêu cầu xác thực chống lừa đảo. Khi được sử dụng như một mã thông báo FIDO2 (FIDO2 Token), YubiKey vận hành dựa trên các cặp khóa công khai/riêng tư (Public/Private Key Pair) được liên kết với URL của tenant, từ đó bảo đảm các yêu cầu xác thực mạnh được thực thi đầy đủ.
Bảo mật thiết bị và máy trạm dùng chung
Việc sử dụng máy trạm và thiết bị di động dùng chung đang ngày càng trở nên phổ biến trong quân đội và khu vực công. Thông qua việc chia sẻ tài nguyên cho quân nhân, nhân viên dân sự, nhà thầu và đối tác nhiệm vụ, các tổ chức có thể giảm đáng kể chi phí sở hữu và vận hành thiết bị. Bằng cách chuyển việc lưu trữ thông tin xác thực từ thiết bị sang một bộ xác thực dựa trên phần cứng như YubiKey, mỗi người dùng đều có thể được cấp phát một khóa bảo mật để xác thực trên bất kỳ thiết bị nào. Quân nhân, nhân viên không quân, nhân viên dân sự, nhà thầu và đối tác nhiệm vụ sử dụng máy trạm hoặc thiết bị dùng chung sẽ được hưởng lợi đáng kể từ YubiKey nhờ khả năng hoạt động trên nhiều loại thiết bị khác nhau, bao gồm máy tính để bàn, máy tính xách tay, điện thoại di động, máy tính bảng và notebook chỉ với cùng một khóa bảo mật. Hơn nữa, YubiKey có thể được lập trình lại một cách dễ dàng, khiến nó trở thành giải pháp lý tưởng cho các môi trường làm việc theo ca hoặc những người dùng tạm thời.
Bảo mật cho người dùng không đủ điều kiện sử dụng CAC
Những đối tượng không đủ điều kiện sử dụng CAC như người phụ thuộc, nhà thầu, đối tác thuộc chương trình SPP và các đối tượng cần quyền truy cập của bên thứ ba vẫn cần được cấp quyền truy cập an toàn vào hệ thống. Để đáp ứng nhu cầu này, Bộ Quốc phòng Hoa Kỳ đã phê duyệt YubiKey như một giải pháp thay thế đạt chuẩn FIPS 140-2 trong những trường hợp việc sử dụng PKI không khả thi. Đây là giải pháp thay thế CAC đã được xác thực theo tiêu chuẩn FIPS 140-2, cho phép những người không sử dụng CAC hoặc người dùng thiết bị cá nhân không thuộc diện GFE trong môi trường BYOD có thể xác thực để truy cập các mạng của DoD.
Bảo mật cho nhân viên văn phòng
Cùng với việc Quân đội Hoa Kỳ triển khai Azure Virtual Desktop (AVD), YubiKey đã được các quân nhân thuộc lực lượng Vệ binh Quốc gia và Lực lượng Dự bị đón nhận rộng rãi vì khả năng cung cấp quyền truy cập bất kể thiết bị được sử dụng là gì. Với nhiều kiểu dáng thiết bị khác nhau và được hỗ trợ bởi Army Enterprise Service Desk, YubiKey có thể khai thác tối đa tiềm năng của AVD dành cho quân nhân, nhân sự và người dùng trên máy tính xách tay cũng như thiết bị di động mà không cần đầu đọc thẻ thông minh bổ sung. Tương tự, YubiKey cũng giúp khai thác toàn bộ tiềm năng của Desktop Anywhere nhằm mang lại trải nghiệm nhất quán dù người dùng làm việc tại văn phòng hay từ xa. YubiKey cung cấp cho người dùng đã đăng ký một trải nghiệm xác thực đơn giản và nhất quán, bất kể họ sử dụng thiết bị nào để khởi tạo phiên làm việc từ xa.
Bảo mật SCIF và các mạng cách ly hoàn toàn
Các mạng cách ly hoàn toàn (mạng lưới Air-Gapped) được tách biệt hoàn toàn khỏi môi trường bên ngoài, khiến việc xác thực người dùng dựa trên dữ liệu truyền qua mạng trở nên khó khăn. Nhiều hệ thống Air-Gapped hiện nay vẫn sử dụng tên người dùng và mật khẩu hoặc kết hợp mật khẩu với danh tính số để xác thực. Khả năng hỗ trợ đa giao thức của YubiKey giúp các mạng cách ly hoàn toàn luôn được bảo vệ trước các hành vi xâm nhập bằng cách cung cấp các tùy chọn MFA chống lừa đảo hoạt động hiệu quả trong các môi trường mạng cô lập và khu vực hạn chế thiết bị di động. Do không yêu cầu kết nối mạng, kết nối di động hay pin để vận hành, YubiKey đặc biệt phù hợp với những môi trường có yêu cầu bảo mật cao và hạ tầng tách biệt như Cơ sở thông tin mật được phân loại – SCIF (Sensitive Compartmented Information Facility) và các mạng Air-Gapped.








