🔐 Cisco Duo Identity MFA 🔑
Multi-Factor Authentication · Passwordless · Zero Trust · SSO — รองรับ WSS ข้อ 8.5 (MFA) และ 8.4 (Access Control)
🎯 Cisco Duo คืออะไร?
Duo Security (cisco.com/go/duo) คือ Cloud-Based Multi-Factor Authentication (MFA) และ Zero Trust Access Platform
— เป็นผลิตภัณฑ์อันดับ 1 ของ Cisco ในด้าน Identity Security ที่ช่วยปกป้องการเข้าถึงระบบจาก credential theft
และ account takeover ด้วยการยืนยันตัวตนหลายชั้น ก่อนอนุญาตให้เข้าถึง resource สำคัญขององค์กร
🔑 MFA Methods — วิธีการยืนยันตัวตนของ Duo
📱 Duo Push แนะนำ
ส่ง push notification ไปยัง Duo Mobile App — ผู้ใช้กด Approve/Deny
- Standard Push: แตะ Approve ในแอป
- Verified Push: แสดงหมายเลข + ตำแหน่ง — ป้องกัน push fatigue
- Number Matching: ต้องกดหมายเลขที่ถูกต้อง — ป้องกัน MFA bombing
- WSS 8.5
🔐 Time-based One-Time Password (TOTP)
รหัส OTP แบบ 6 หลัก เปลี่ยนทุก 30 วินาที — ไม่ต้องใช้อินเทอร์เน็ต
- Duo Mobile TOTP: ในแอป Duo Mobile
- Third-party TOTP: Google Authenticator, Microsoft Authenticator
- Hardware Token: YubiKey (OATH-TOTP), Token2
- WSS 8.5
📞 Phone Callback
ระบบโทรศัพท์กลับหา — กด # เพื่อยืนยัน
- Auto-Callback: โทรกลับทันทีเมื่อขอ MFA
- Fallback: ใช้เมื่อ push/OTP ไม่ทำงาน
- Any Phone: โทรกลับไปยังเบอร์ที่ลงทะเบียน
- WSS 8.5
💬 SMS Passcode
ส่งรหัส OTP ทาง SMS — เหมาะกับ backup method
- Auto-Send: ส่งอัตโนมัติเมื่อ login
- Backup: ใช้เมื่อแอปไม่พร้อม
- WSS 8.5
🔑 Passwordless & Biometric
🪪 FIDO2 / WebAuthn Passwordless
Passkey — ยืนยันตัวตนโดยไม่ต้องใช้ Password เลย ใช้ Public Key Cryptography
- FIDO2 Security Key: YubiKey, Google Titan, Feitian
- Platform Authenticator: Touch ID, Face ID, Windows Hello
- Passkey Sync: iCloud Keychain, Google Password Manager
- Resident Key: Discoverable Credential — ไม่ต้องระบุ username
- WSS 8.5 Passwordless
👤 Biometric Authentication
ยืนยันตัวตนด้วยลักษณะทางชีวภาพ — ปลอดภัยกว่า Password มาก
- Face ID: Apple Face ID (iPhone/iPad/Mac)
- Touch ID: Apple Touch ID (fingerprint)
- Windows Hello: Face / Fingerprint / PIN
- Android Biometric: Fingerprint / Face Unlock
- Liveness Detection: ป้องกันการปลอมแปลงด้วยรูปภาพ/วิดีโอ
- WSS 8.5
🧠 Adaptive MFA — Risk-Based Authentication
Duo ไม่ได้แค่ถาม MFA ทุกครั้ง — แต่ ปรับระดับความเข้มงวดตามความเสี่ยง แบบ Real-time
✅ Low Risk
Pass-through
→
⚠️ Medium Risk
Push MFA
→
🚫 High Risk
Block + Alert
📍 Location
- Geo-IP — ตรวจสอบตำแหน่งทางภูมิศาสตร์
- Known Location — ข้าม MFA เมื่อมาจาก office
- New Location — ถาม MFA เสมอเมื่อ login จากพื้นที่ใหม่
- Impossible Travel — ตรวจจับ login จาก 2 ที่ในเวลาใกล้กัน
📱 Device Trust
- Device Health — ตรวจสอบ Disk Encryption, OS Patch, Antivirus
- Jailbreak/Root Detection — ปิดกั้น device ที่ถูกเจาะ
- MDM/Jamf Integration — ตรวจสอบ compliance จาก MDM
- Managed Certificate — Duo Device Health App
👤 User Behavior
- Login Time — ถ้า login นอกเวลางาน → MFA เสมอ
- Login Frequency — ถ้าถี่เกินปกติ → block
- Failed Attempts — เกิน threshold → block ชั่วคราว
- New Device — device ไม่เคยเห็นมาก่อน → MFA
🌐 Network & IP
- IP Reputation — ตรวจสอบว่า IP อยู่ใน blacklist หรือไม่
- Anonymizer/VPN — block หรือถาม MFA เมื่อใช้ VPN/Tor
- ISP Category — แยกประเภท ISP (Business, Residential, Mobile)
- Country Block — block ประเทศที่ไม่ต้องการ
🔗 Duo Single Sign-On (SSO)
Duo ทำหน้าที่เป็น Identity Provider (IdP) ให้ SSO กับแอปพลิเคชันมากกว่า 20,000+ รายการ
🔄 มาตรฐานที่รองรับ
- SAML 2.0 — Standard federation protocol
- OIDC / OAuth 2.0 — Modern API authentication
- SCIM — User provisioning & deprovisioning
- LDAP / RADIUS — Legacy integration
- RDP / SSH — MFA สำหรับ remote access
📋 ตัวอย่างแอปที่รองรับ
- Cloud: AWS, Azure, GCP, Salesforce, Office 365
- DevOps: GitHub, GitLab, Jenkins, Kubernetes
- Communication: Slack, Teams, Zoom, Webex
- ITSM: ServiceNow, Jira, Confluence
- VPN: AnyConnect, OpenVPN, Palo Alto, Pulse
🛡️ Duo + Zero Trust Architecture
Duo เป็นหัวใจของ Zero Trust ของ Cisco — Never Trust, Always Verify:
🎯 Duo Beyond — Zero Trust Network Access (ZTNA)
Duo Network Gateway — ให้ access ไปยัง private resources โดยไม่ต้องเปิด firewall port
- Agentless: ใช้ browser-based access
- Application-Layer: ควบคุม access ทีละแอป ไม่ใช่ทีละ network
- Micro-segmentation: แยก access ระหว่าง user
- Session Record: audit log ทุก session
- WSS 8.4 8.4a
🔐 Passwordless Zero Trust
รวม Passwordless + ZTNA — เข้าถึง resource โดยไม่ต้องจำ password เลย
- No Password: FIDO2 + Biometric + Duo Push
- No VPN: Duo Network Gateway แทน VPN
- Per-Session Auth: ถาม MFA ทุกครั้งเมื่อเปิด session ใหม่
- Least Privilege: ให้สิทธิ์เท่าที่จำเป็นสำหรับงานนั้นๆ
- WSS 8.5 ZTNA
📋 WSS Requirement Mapping — Duo ครอบคลุมอะไรบ้าง
| WSS ข้อ | หัวข้อ | Duo Feature | 🔑 MFA โดยตรง? |
| 8.4 | Access Control | Duo Access Gateway, SSO, RBAC, ZTNA | ⚡ |
| 8.4a | Remote Connection | Duo Beyond (ZTNA), VPN MFA | |
| 8.5 | MFA 🔑 | Duo Push, TOTP, FIDO2, Biometric, SMS, Phone — ทุก MFA Method | ✅ |
| 8.6 | Secure Config | Device Health, Trusted Endpoints | |
| 8.8 | Firewall/WAF | Duo Network Gateway (ZTNA) เสริม Firewall | |
| 9.1 | Monitoring | Duo Admin Logs, Authentication Logs, Identity Analytics | |
| 10.1 | IR Plan | Duo Incident Response — Suspend User, Block Device, Revoke Token | |
🔑 WSS 8.5 MFA — Duo เป็นคำตอบหลัก!
WSS 8.5 กำหนดให้ ทุกบัญชีที่เข้าถึงระบบสำคัญต้องมี Multi-Factor Authentication — Duo รองรับครบทุก MFA Method
(Push, TOTP, FIDO2/Passkey, Biometric, SMS, Phone) + Adaptive MFA + SSO + ZTNA
⚙️ Deployment Models — รูปแบบการใช้งาน
☁️ Duo Cloud (SaaS)
Duo เป็น SaaS — จัดการผ่าน cloud console ไม่ต้องติดตั้งเซิร์ฟเวอร์
- Pros: ไม่ต้องดูแล infrastructure, auto-update, 99.99% SLA
- Cons: ต้องมี internet access, data อยู่บน cloud
- เหมาะกับ: องค์กรทั่วไป, SMB, Enterprise
🏢 DuO On-Premises (Duo Access Gateway)
ติดตั้ง Duo Access Gateway ใน data center ขององค์กร
- Pros: ควบคุม data ได้เอง, ทำงาน offline ได้, comply กับ data sovereignty
- Cons: ต้องดูแล infrastructure, patch management
- เหมาะกับ: หน่วยงานรัฐ, ธนาคาร, องค์กรที่มี compliance สูง
📌 WSS 8.5 (MFA) — Duo Implementation Guide
WSS ข้อ 8.5 (มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์):
"ผู้ให้บริการเว็บไซต์ต้องกำหนดให้มีการยืนยันตัวตนหลายปัจจัย (Multi-Factor Authentication)
สำหรับบัญชีที่มีสิทธิ์เข้าถึงระบบบริหารจัดการเว็บไซต์ ระบบฐานข้อมูล และระบบสำคัญอื่นๆ"
✅ Duo Implementation Steps สำหรับ WSS 8.5
📋 1. ระบุ
systems
→
🔗 2. Connect
Duo SSO
→
👥 3. Enroll
users
→
⚙️ 4. Config
policy
→
🚀 5. Enforce
MFA
→
📊 6. Monitor
& audit
| ขั้นตอน | รายละเอียด | Duo Feature |
| 1. ระบุระบบ | ระบุ target systems ที่ต้องมี MFA ตาม WSS 8.5 — admin panel, database, CI/CD, SSH, VPN | — |
| 2. เชื่อมต่อ | Integrate แต่ละระบบกับ Duo — SSO (SAML/OIDC), RADIUS, RDP, SSH | Duo Integration |
| 3. ลงทะเบียน | Enroll ผู้ใช้ — ติดตั้ง Duo Mobile, ลงทะเบียน device, ตั้งค่า backup method | Duo Mobile App |
| 4. ตั้งค่า Policy | กำหนด Adaptive Policy — เมื่อไหร่ต้อง MFA, ข้าม MFA เมื่อไหร่, device trust | Duo Admin Console |
| 5. บังคับใช้ | เปิด MFA แบบบังคับ (Enforce) — ทุกคนต้อง MFA ก่อนเข้าถึงระบบ | Duo Enforcement |
| 6. ติดตาม | ตรวจสอบ authentication logs, audit trails, report compliance | Duo Reporting & Logs |
🚨 Duo Incident Response — การรับมือเมื่อมีเหตุการณ์
เมื่อเกิด security incident — Duo มีฟังก์ชันสำหรับ IR โดยเฉพาะ:
⛔ Suspend User
ระงับบัญชีผู้ใช้ — ป้องกัน access ต่อทันที
- ระงับจาก Duo Admin Console หรือ SecureX
- ส่ง email/sms แจ้ง alert
- ยกเลิก session ปัจจุบันทั้งหมด
- ป้องกันการ login ซ้ำ
📱 Bypass / Lock Device
จัดการ device ที่ถูก compromise
- ตั้ง bypass code สำหรับ admin ที่ device เสีย
- lock device ที่ถูกขโมย
- ลบ device ออกจาก Duo ของ user
- revoke all remembered devices
🔄 Emergency Access
กรณี MFA ล้มเหลว — ต้องมีวิธีสำรอง
- Bypass Code — code ใช้ครั้งเดียวสำหรับกรณีฉุกเฉิน
- SMS Backup — OTP ทาง SMS
- Hardware Token — YubiKey ใช้ได้ offline
- Admin Override — admin ระดับสูง bypass ให้ชั่วคราว
📊 Post-Incident Audit
ตรวจสอบหลังจาก incident
- Authentication Log — ดูว่าใคร MFA เมื่อไหร่ จากที่ไหน
- Admin Log — ดู action ของ admin บน console
- Telemetry — Duo + SecureX dashboard
- Compliance Report — export สำหรับ WSS audit
💡 Tip: Duo รองรับ WSS 10.1 (Incident Response Plan) — สามารถกำหนด playbook สำหรับ IR
เช่น "เมื่อตรวจพบ compromised account → Suspend User + Revoke Tokens + Alert SOC"
💲 Duo Licensing Tiers
| Features | Duo Free | Duo Essentials | Duo Advantage | Duo Premier |
| MFA (Push, TOTP, SMS, Phone) | ✅ 10 users | ✅ | ✅ | ✅ |
| FIDO2/WebAuthn Passkey | ✅ 10 users | ✅ | ✅ | ✅ |
| Biometric (Face ID, Touch ID) | ✅ 10 users | ✅ | ✅ | ✅ |
| SSO (SAML/OIDC) | — | ✅ 10 apps | ✅ | ✅ |
| Adaptive MFA (Risk-based) | — | — | ✅ | ✅ |
| Device Trust / MDM | — | — | ✅ | ✅ |
| Duo Beyond (ZTNA) | — | — | — | ✅ |
| Identity Analytics / ITDR | — | — | — | ✅ |
| Incident Response Tools | — | — | — | ✅ |
| WSS 8.5 Ready | ⚠️ จำกัด | ✅ พื้นฐาน | ✅ ครอบคลุม | ✅✅ ครบถ้วน |
💡 Free Tier 10 users: Duo มี Free Plan สำหรับ 10 users แรก — รองรับ MFA พื้นฐาน + FIDO2 + Biometric
เหมาะสำหรับทดลองหรือองค์กรขนาดเล็ก
📊 Duo vs MFA Solutions อื่น
| Feature | 🔐 Cisco Duo | Microsoft Authenticator | Google Authenticator | Okta Verify |
| Push Notification | ✅ Standard + Verified Push | ✅ | — | ✅ |
| Number Matching (anti-fatigue) | ✅ | ✅ | — | — |
| TOTP | ✅ | ✅ | ✅ | ✅ |
| FIDO2 Passkey | ✅ | ✅ | — | ✅ |
| Biometric | ✅ Face ID, Touch ID, Windows Hello | ✅ Face ID | — | ✅ Face ID |
| Adaptive MFA | ✅ Location, Device, Behavior, IP | ✅ Conditional Access | — | ✅ Okta MFA |
| SSO (IdP) | ✅ 20,000+ apps | ✅ (Azure AD) | — | ✅ 7,000+ |
| ZTNA (Beyond VPN) | ✅ Duo Beyond | — | — | ✅ Okta ZT |
| Device Trust | ✅ MDM/Jamf/Intune | ✅ Intune | — | ✅ Device Trust |
| Free Tier | ✅ 10 users | — | ✅ ฟรี | — |
| WSS 8.5 MFA | ✅ เต็ม | ✅ | ⚠️ บางส่วน | ✅ |
🎯 สรุป — Duo สำหรับ WSS
✅ จุดแข็ง
- MFA หลากหลายที่สุดในตลาด (Push, TOTP, FIDO2, Biometric, SMS, Phone)
- Adaptive MFA — ลด friction โดยไม่ลด security
- SSO รองรับ 20,000+ แอป
- ZTNA (Duo Beyond) — ปลอดภัยกว่า VPN
- Free Tier 10 users — ทดลองฟรี
- รองรับ WSS 8.5 MFA ครบถ้วน
⚠️ ข้อควรระวัง
- Duo เป็นส่วนหนึ่งของ Cisco — ถ้าใช้ ecosystem Cisco อยู่แล้วดี แต่ถ้า multi-vendor อาจซับซ้อน
- Free Tier จำกัด 10 users — จ่ายเมื่อเกิน
- Adaptive MFA และ ZTNA ต้องใช้ Advantage/Premier tier
- ขึ้นกับ internet ถ้าใช้ Duo Cloud (แต่ On-Prem ก็มี)
🔑 WSS 8.5 MFA Conclusion: Cisco Duo เป็นหนึ่งใน MFA Solution ที่ ครบถ้วนที่สุด
สำหรับ WSS — รองรับทุก MFA Method มี Adaptive Policy, SSO, ZTNA, และ Device Trust ครบจบใน platform เดียว