Phương thức xác thực IP với SAML trong cuộc chiến bảo mật

 

Trước đây, các thủ thư và các nhà quản lý thông tin đã sử dụng phương thức xác thực IP như một phương thức phổ biến trong việc xác thực người dùng truy cập vào nội dung. Đã có rất nhiều cuộc thảo luận và sáng kiến đã được đưa ra, chẳng hạn như Resource Access for the 21st Century (RA21) (https://ra21.org) khuyến khích các tổ chức giảm thiểu sử dụng phương thức xác thực IP vì các vấn đề bảo mật an ninh.

 

Truy cập IP với SAML

Nhìn vào những điểm khác biệt giữa SAML và IP có thể thấy những dấu hiệu chỉ ra rằng tại sao IP lại không phải là phương thức xác thực an toàn nhất. Security Assertion Markup Language (SAML) là một tiêu chuẩn mở được thiết kế để hỗ trợ bảo mật đăng nhập một lần (SSO). Phương thức xác thực SAML hoạt động bằng cách chuyển thông tin đã chọn lọc về cá nhân cho các nhà cung cấp dịch vụ từ nhà cung cấp danh tính của họ mà không cung cấp thông tin đăng nhập của người dùng. 

Việc truy cập IP sẽ dựa trên địa chỉ và khó để quản lý bảo mật truy cập mà giấy phép tài nguyên yêu cầu, từ các máy tính bàn trong thư viện hoặc các máy tính cá nhân trong khuôn viên trường học. Khi một người dùng đăng nhập thông qua IP, các nhà cung cấp dịch vụ hoặc nhà xuất bản chỉ biết rằng họ truy cập từ địa chỉ IP đó.

Bảo mật theo thiết kế 

Có rất nhiều lợi ích khi chuyển hướng từ phương thức truy cập IP sang truy cập dựa trên SAML. Đăng nhập một lần được xây dựng trên công nghệ SAML điều đó lý giải tại sao ngày càng có nhiều tổ chức đang lựa chọn phương thức xác thực này. 

Sử dụng duy nhất một tên người dùng và mật khẩu

Xác thực dựa trên SAML yêu cầu một bộ thông tin đăng nhập của người dùng (bao gồm tên người dùng và mật khẩu) để đăng nhập tới tất cả nguồn tài nguyên trực tuyến mà họ có. Việc giảm thiểu thông tin đăng nhập sẽ giúp người dùng hạn chế việc lưu lại các thông tin đăng nhập trên sách vở hay máy tính cá nhân, điều này góp phần tạo nên một trải nghiệm người dùng tốt hơn và an toàn hơn. Đồng thời giúp quản trị viên hỗ trợ người dùng dễ dàng hơn. 

Đăng nhập tại bất kỳ đâu

Xác thực SAML cho phép người dùng đăng nhập mọi lúc mọi nơi- không chỉ trong khuôn viên trường hay VPN. Ví dụ, nếu người dùng tìm thấy một tài nguyên đã được đăng ký qua Google Scholar, họ có thể lựa chọn tùy chọn đăng nhập tổ chức và nhận quyền truy cập.

Tầm quan trọng của việc mang lại “trải nghiệm người dùng tốt”

Truy cập IP có thể làm giảm trải nghiệm người dùng vì  người dùng có thể không truy cập được vào một nguồn tài nguyên nhất định nếu họ không ở trong khuôn viên trường hoặc sử dụng VPN. Thậm chí khi người dùng có thể truy cập vào nguồn tài nguyên, thư viện có thể sẽ không có dữ liệu người dùng chính xác. Ngược lại, xác thực SAML cung cấp khả năng truy cập liền mạch vào nội dung thư viện dù ở bất cứ đâu và đảm bảo sử dụng nhiều hơn về tổng thể cũng như thông tin người dùng chính xác. 

Quản lý vi phạm bảo mật

Nếu ai đó tải xuống quá nhiều nội dung một cách ác ý hoặc thực hiện các hoạt động khả nghi khác, nhà xuất bản có thể chặn toàn bộ quyền truy cập phá vỡ dải IP đối với tổ chức đăng ký. Tuy nhiên, với việc sử dụng SAML, nhà xuất bản có quyền truy cập vào một số nhận dạng có biệt danh để vô hiệu hoá và gửi tới tổ chức đăng ký. Điều này giúp ngăn chặn việc làm gián đoạn quyền truy cập của toàn bộ tổ chức đăng ký. 

Khi nói đến vi phạm bảo mật, SAML có thể gửi các thuộc tính đã thoả thuận trước cho nhà xuất bản về tài khoản người dùng. Các nhà xuất bản có thể nắm bắt các thuộc tính này và sử dụng chúng trong hệ thống đăng nhập như là hệ thống giám sát việc sử dụng sai mục đích. Điều tương tự không thể xảy ra với quyền truy cập IP vì các nhà xuất bản chỉ nhìn thấy 1 địa chỉ IP nên việc xử lý tài khoản vi phạm sẽ khó hơn khi dùng phương thức xác thực IP. 

OpenAthens thường xuyên thực hiện kiểm tra an ninh để loại bỏ nguy cơ tấn công an minh mạng và kiểm tra chứng chỉ an ninh. Theo một số quy tắc được đặt ra, OpenAthens sẽ tạm thời khóa tài khoản. Đặc biệt là việc sử dụng đa quốc gia. Nếu ai đó truy cập từ địa chỉ IP ở 1 quốc gia này và đồng thời truy cập IP giả mạo đó tại một quốc gia khác vào cùng một khung giờ, OpenAthens sẽ đánh dấu, khóa việc truy cập và gửi thư cảnh cáo người sử dụng và người quản trị.

Bảo vệ quyền riêng tư của người dùng

SAML có thể cung cấp cá nhân hoá cho người dùng mà không ảnh hưởng đến quyền riêng tư. Các dữ liệu cá nhân như là địa chỉ email hay tên không cần thiết để cá nhân hoá hoạt động đối với các nhà xuất bản hỗ trợ tùy chọn cá nhân hoá. Dịch vụ đăng nhập 1 lần OpenAthens là 1 ví dụ, nó có thể hỗ trợ cá nhân hoá bằng cách sử dụng mã nhận dạng biệt danh. 

Làm việc với bộ phận CNTT của thư viện để tăng cường bảo mật

Xây dựng một mối quan hệ bền vững với bộ phận CNTT nội bộ có thể làm tăng cường bảo mật quản lý truy cập. Một sự kết nối tốt giữa bộ phận CNTT và thư viện có thể đảm bảo các dự án công nghệ thông tin thư viện tuân theo các tiêu chuẩn an ninh bắt buộc của các tổ chức đồng thời giúp quá trình triển khai dự án mới sẽ trở nên suôn sẻ, đảm bảo tính bảo mật và quyền riêng tư cho dữ liệu bạn đọc của thư viện. 

Nghiên cứu điển hình của EBSCO Đại học bang Iowa (Iowa State University) đã minh chứng cách kiểm tra bảo mật bằng cách chuyển đổi từ phương thức xác thực dựa trên proxy sang OpenAthens. Bằng việc chuyển đổi này, thư viện đã giảm thiểu nguy cơ rủi ro vi phạm bảo mật. Đồng thời đáp ứng được yêu cầu của bộ phận CNTT rằng tất cả người dùng đều phải đăng nhập ngay cả khi họ đang ở trong khuôn viên trường.

                                                                                                                                                            Theo EBSCO