Penta Security Isign – Giải pháp xác thực một lần
Penta Security Isign - Giải Pháp Xác Thực Một Lần
Hiện nay trong các doanh nghiệp sở hữu nhiều ứng dụng khác nhau để xử lí các công việc khác nhau. Tuy nhiên, mặt trái của việc doanh sử dụng rất nhiều ứng dụng là người dùng bắt buộc phải nhớ từng loại tài khoản khác nhau đối với các ứng dụng khác nhau. Mặt khác, ngoài vấn đề phải nhớ nhiều tài khoản ID/PW khác nhau, việc bảo vệ danh tính người dùng cũng không được đảm bảo, người dùng nếu bị lộ các thông tin tài khoản của 1 ứng dụng nào đó, tin tặc có thể truy cập vào ứng dụng dễ dàng. Lúc đó giả...Penta Security Isign - Giải Pháp Xác Thực Một Lần
1. Tổng quan
Hiện nay trong các doanh nghiệp sở hữu nhiều ứng dụng khác nhau để xử lí các công việc khác nhau. Tuy nhiên, mặt trái của việc doanh sử dụng rất nhiều ứng dụng là người dùng bắt buộc phải nhớ từng loại tài khoản khác nhau đối với các ứng dụng khác nhau. Mặt khác, ngoài vấn đề phải nhớ nhiều tài khoản ID/PW khác nhau, việc bảo vệ danh tính người dùng cũng không được đảm bảo, người dùng nếu bị lộ các thông tin tài khoản của 1 ứng dụng nào đó, tin tặc có thể truy cập vào ứng dụng dễ dàng. Lúc đó giải pháp SSO (Single Sign On) sẽ được giải quyết được các tồn tại nêu trên.
2. Giới thiệu giải pháp SSO
Trước khi có đăng nhập một lần (SSO), một người sử dụng đã phải nhập các tài khoản và mật khẩu cho từng ứng dụng mỗi khi họ đăng nhập vào các ứng dụng khác nhau hoặc các hệ thống trong cùng một phiên (session). Điều này rõ ràng có thể tốn nhiều thời gian, đặc biệt là trong môi trường doanh nghiệp, nơi mà thời gian là tiền bạc nhưng thời gian là lãng phí bởi vì nhân viên phải đăng nhập mỗi khi họ truy cập vào một hệ thống mới từ máy tính của họ. SSO thường được thực hiện thông qua một mô-đun xác thực phần mềm riêng biệt hoạt động như một cửa ngõ vào tất cả các ứng dụng yêu cầu đăng nhập. Các mô-đun xác thực người sử dụng và sau quản lý truy cập vào các ứng dụng khác. Hoạt động như một kho dữ liệu chung cho tất cả các thông tin đăng nhập được yêu cầu. Ví dụ: Một ví dụ về một module SSO là hệ thống của Google khi mà người dùng chỉ cần đăng nhập 1 lần thì họ có thể sử dụng các dịch vụ của Google hay Yahoo mà không đòi hỏi đăng nhập 1 lần nữa như Gmail, Google Plus, Youtube…..
Để cho phép người dùng chỉ mât một lần truy cập, hệ thống cần phải chia sẻ thông tin xác thực giữa các ứng dụng.
Các giao thức SSO chia sẻ thông tin xác thực theo nhiều cách khác nhau, nhưng những thứ cơ bản thì giống nhau đó là: có một giải pháp xác thực trung tâm để thực hiện xác thực (authentication) và sau đó thông tin người dùng được chia sẻ với các ứng dụng khác theo nhiều cách.
Bất cứ khi nào người dùng tới một ứng dụng yêu cầu phải xác thực, người dùng sẽ được chuyển đến ứng dụng xác thực (authentication ứng dụng). Nếu người dùng đã đăng nhập tại ứng dụng xác thực, người dùng sẽ ngay lập tức được chuyển hướng trở lại ứng dụng gốc với token để xác có thể truy cập vào hệ thống.
1. Tổng quan về Penta Security System
Được thành lập trên công nghệ mã hóa dữ liệu vào năm 1997, Penta Security Systems là nhà cung cấp hàng đầu các sản phẩm, giải pháp và dịch vụ bảo mật dữ liệu và web. Với 23 năm kinh nghiệm trong lĩnh vực bảo mật, bảo vệ dữ liệu cho hàng triệu khách hàng với những thương hiệu lớn, Penta Security đã tạo ra các sản phẩm chất lượng cao dựa trên tiêu chuẩn đảm bảo chất lượng phần mềm (TSQA)
Các giải pháp chính của penta security bao gồm:
Giải pháp bảo vệ dữ liệu, mã hóa dữ liệu: D’Amo
Giải pháp tường lửa ứng dụng web (WAF): Wapples
Giải pháp truy cập một lần: Isign+
2. Giải pháp PENTA SECURITY ISIGN+
Kế thừa từ giải pháp SSO truyền thống, giải pháp Isign+ của penta security không những đảm bảo được những tính năng sẵn có của giải pháp SSO mà còn có những ưu điểm như giúp tiết kiệm chi phí bằng triển khai cách chỉ sử dụng một nền tảng phần cứng duy nhất để tích hợp xác thực với tất cả các máy chủ (server ), cơ sở dữ liêu (database ), các phần mềm quản trị quản lí. Isign+ có thể áp dụng với hệ thống hiện có mà không cần bất cứ sự thay đổi nào.
Để tăng tính bảo mật của hệ thống, Isign+ tích hợp sẵn các tính năng xác thực đa nhân tố và đa kênh cung cấp các tùy chọn khả thi cho tất cả các người dùng. các phương thức xác thực khác nhau mà Isign đang hỗ trợ bao gồm ID / PW, mOTP, SMS / Email, FIDO / FIDO2. Ngoài ra giải pháp còn hỗ trợ xác thực sinh trắc học thông qua giao thức FIDO (FIDO UAF / U2F, FIDO2)
Việc cài đặt, quản lí và mở rộng Isign+ vô cùng dễ dàng. Góp phần giảm khối lượng công việc cho quản trị viên, quản trị hệ thống xác thực người dùng và đảm bảo được tính bảo mật của thông tin người dùng khi tất cả các thông tin đều được lưu trữ vào bảo vệ trực tiếp trên thiết bị phần cứng của Isign+.
3. Các tính năng chính của Isign+
Quản trị danh tính người dùng (Identity Management)
Isign+ sẽ thu thập dữ liệu tài khoản từ nhiều nguồn khác nhau như Active Directory,… lưu trữ tài khoản của người dùng vào database, thực hiện xử lí xác thực và chuyển tiếp đến các ứng dụng cho phép người dùng truy cập vào hệ thống.
Quản trị truy cập phân quyền (Extranet Access Management)
Cung cấp đặc quyền truy cập theo vai trò và, kiểm soát truy cập dựa theo IP với danh sách trắng (whitelist) và danh sách đen (blacklist) cho mỗi người dùng và dịch vụ. Ngoài ra, Isign+ cũng cho phép tích hợp với các giải pháp EAM bên thứ 3
Tính năng High Availability (HA)
Có sẵn để định cấu hình Tính khả dụng cao mà không cần chuyển đổi L4
Active-Active (yêu cầu chuyển đổi L4), Active-Standby (tùy chọn L4) có thể cấu hình tùy thuộc vào môi trường.
Ngăn chặn đăng nhập trùng lặp (login duplicate prevention)
Isign+ cho phép ngăn chặn ăn cắp thông tin người dùng với 2 tùy chọn:
- Chặn phiên đăng nhập đang sử dụng, cho phép phiên đăng nhập mới
- Chặn phiên đăng nhập mới, cho phép phiên đăng nhập đã tồn tại
Quản trị mật khẩu (Password Management)
Cho phép tạo chính sách thiết lập mật khẩu và quản trị bảo mật thông qua các tiêu chuẩn bảo mật:
- Tăng cường bảo mật mật khẩu cho chính sách tạo mật khẩu
- Mã hóa mật khẩu và Hỗ trợ chính sách quản lý mật khẩu
Chính sách tạo mật khẩu ISign + | Chính sách quản lý mật khẩu ISign + | |
· Tạo mật khẩu lớn hơn 8 kí tự với 3 loại chữ khác nhau · Tạo mật khẩu lớn hơn 10 kí tự với 2 loại chữ khác nhau · Không sử dụng các mẫu kí tự cụ thể dễ đoán · Không sử dụng các thông tin cá nhân để làm mật khẩu · Không sử dụng ID để làm mật khẩu · Không sử dụng các mật khẩu đã đặt trước đó để làm mật khẩu |
· Lưu trữ với ký tự được mã hóa 128 bị (Đề xuất thuật toán băm 256 bit hoặc dài hơn) · Quản trị viên không thể thay đổi mật khẩu của người dùng · Khóa đăng nhập đối khi vượt qua ngưỡng đăng nhập sai · Mật khẩu ban đầu tạo ra ngẫu nhiên và bắt người dùng thay đổi mật khẩu trong khoảng thời gian ngẫu nhiên |
Ngăn chặn tấn công giả mạo người dùng (replay attack prevention)
Isign+ xác minh mọi kết nối phiên bằng cách sử dụng Challenge-Response (xác minh giá trị khi người dùng yêu cầu xác thức và giá trị trả về bằng cách sử dụng thông tin bí mật được chia sẻ giữa người dùng và máy chủ) và chèn mã xác thực duy nhất để xác minh người dùng là không phải giả mạo danh tính người dùng.
Giám sát dịch vụ và người dùng theo thời gian thực
Kiểm tra giám sát phiên, người dùng đồng thời, trạng thái đăng nhập trùng lặp
Ghi log người dùng và quản trị viên
4. Các môi trường hỗ trợ
5. Các dòng sản phẩm SSO (Single Sign On) của Penta Security