← กลับหน้า Cisco 🛡️ Vendor Solutions 🏠 หน้าแรก

🔐 Cisco Duo Identity MFA 🔑

Multi-Factor Authentication · Passwordless · Zero Trust · SSO — รองรับ WSS ข้อ 8.5 (MFA) และ 8.4 (Access Control)
🎯 Cisco Duo คืออะไร?
Duo Security (cisco.com/go/duo) คือ Cloud-Based Multi-Factor Authentication (MFA) และ Zero Trust Access Platform — เป็นผลิตภัณฑ์อันดับ 1 ของ Cisco ในด้าน Identity Security ที่ช่วยปกป้องการเข้าถึงระบบจาก credential theft และ account takeover ด้วยการยืนยันตัวตนหลายชั้น ก่อนอนุญาตให้เข้าถึง resource สำคัญขององค์กร

📊 Duo by the Numbers

30M+
ผู้ใช้งานประจำวัน
20,000+
แอปที่รองรับ SSO
99.99%
Availability SLA

🔑 MFA Methods — วิธีการยืนยันตัวตนของ Duo

📱 Duo Push แนะนำ

ส่ง push notification ไปยัง Duo Mobile App — ผู้ใช้กด Approve/Deny
  • Standard Push: แตะ Approve ในแอป
  • Verified Push: แสดงหมายเลข + ตำแหน่ง — ป้องกัน push fatigue
  • Number Matching: ต้องกดหมายเลขที่ถูกต้อง — ป้องกัน MFA bombing
  • WSS 8.5

🔐 Time-based One-Time Password (TOTP)

รหัส OTP แบบ 6 หลัก เปลี่ยนทุก 30 วินาที — ไม่ต้องใช้อินเทอร์เน็ต
  • Duo Mobile TOTP: ในแอป Duo Mobile
  • Third-party TOTP: Google Authenticator, Microsoft Authenticator
  • Hardware Token: YubiKey (OATH-TOTP), Token2
  • WSS 8.5

📞 Phone Callback

ระบบโทรศัพท์กลับหา — กด # เพื่อยืนยัน
  • Auto-Callback: โทรกลับทันทีเมื่อขอ MFA
  • Fallback: ใช้เมื่อ push/OTP ไม่ทำงาน
  • Any Phone: โทรกลับไปยังเบอร์ที่ลงทะเบียน
  • WSS 8.5

💬 SMS Passcode

ส่งรหัส OTP ทาง SMS — เหมาะกับ backup method
  • Auto-Send: ส่งอัตโนมัติเมื่อ login
  • Backup: ใช้เมื่อแอปไม่พร้อม
  • WSS 8.5

🔑 Passwordless & Biometric

🪪 FIDO2 / WebAuthn Passwordless

Passkey — ยืนยันตัวตนโดยไม่ต้องใช้ Password เลย ใช้ Public Key Cryptography
  • FIDO2 Security Key: YubiKey, Google Titan, Feitian
  • Platform Authenticator: Touch ID, Face ID, Windows Hello
  • Passkey Sync: iCloud Keychain, Google Password Manager
  • Resident Key: Discoverable Credential — ไม่ต้องระบุ username
  • WSS 8.5 Passwordless

👤 Biometric Authentication

ยืนยันตัวตนด้วยลักษณะทางชีวภาพ — ปลอดภัยกว่า Password มาก
  • Face ID: Apple Face ID (iPhone/iPad/Mac)
  • Touch ID: Apple Touch ID (fingerprint)
  • Windows Hello: Face / Fingerprint / PIN
  • Android Biometric: Fingerprint / Face Unlock
  • Liveness Detection: ป้องกันการปลอมแปลงด้วยรูปภาพ/วิดีโอ
  • WSS 8.5

🧠 Adaptive MFA — Risk-Based Authentication

Duo ไม่ได้แค่ถาม MFA ทุกครั้ง — แต่ ปรับระดับความเข้มงวดตามความเสี่ยง แบบ Real-time

✅ Low Risk
Pass-through
⚠️ Medium Risk
Push MFA
🚫 High Risk
Block + Alert

📍 Location

  • Geo-IP — ตรวจสอบตำแหน่งทางภูมิศาสตร์
  • Known Location — ข้าม MFA เมื่อมาจาก office
  • New Location — ถาม MFA เสมอเมื่อ login จากพื้นที่ใหม่
  • Impossible Travel — ตรวจจับ login จาก 2 ที่ในเวลาใกล้กัน

📱 Device Trust

  • Device Health — ตรวจสอบ Disk Encryption, OS Patch, Antivirus
  • Jailbreak/Root Detection — ปิดกั้น device ที่ถูกเจาะ
  • MDM/Jamf Integration — ตรวจสอบ compliance จาก MDM
  • Managed Certificate — Duo Device Health App

👤 User Behavior

  • Login Time — ถ้า login นอกเวลางาน → MFA เสมอ
  • Login Frequency — ถ้าถี่เกินปกติ → block
  • Failed Attempts — เกิน threshold → block ชั่วคราว
  • New Device — device ไม่เคยเห็นมาก่อน → MFA

🌐 Network & IP

  • IP Reputation — ตรวจสอบว่า IP อยู่ใน blacklist หรือไม่
  • Anonymizer/VPN — block หรือถาม MFA เมื่อใช้ VPN/Tor
  • ISP Category — แยกประเภท ISP (Business, Residential, Mobile)
  • Country Block — block ประเทศที่ไม่ต้องการ

🔗 Duo Single Sign-On (SSO)

Duo ทำหน้าที่เป็น Identity Provider (IdP) ให้ SSO กับแอปพลิเคชันมากกว่า 20,000+ รายการ

🔄 มาตรฐานที่รองรับ

  • SAML 2.0 — Standard federation protocol
  • OIDC / OAuth 2.0 — Modern API authentication
  • SCIM — User provisioning & deprovisioning
  • LDAP / RADIUS — Legacy integration
  • RDP / SSH — MFA สำหรับ remote access

📋 ตัวอย่างแอปที่รองรับ

  • Cloud: AWS, Azure, GCP, Salesforce, Office 365
  • DevOps: GitHub, GitLab, Jenkins, Kubernetes
  • Communication: Slack, Teams, Zoom, Webex
  • ITSM: ServiceNow, Jira, Confluence
  • VPN: AnyConnect, OpenVPN, Palo Alto, Pulse

🛡️ Duo + Zero Trust Architecture

Duo เป็นหัวใจของ Zero Trust ของ Cisco — Never Trust, Always Verify:

🎯 Duo Beyond — Zero Trust Network Access (ZTNA)

Duo Network Gateway — ให้ access ไปยัง private resources โดยไม่ต้องเปิด firewall port
  • Agentless: ใช้ browser-based access
  • Application-Layer: ควบคุม access ทีละแอป ไม่ใช่ทีละ network
  • Micro-segmentation: แยก access ระหว่าง user
  • Session Record: audit log ทุก session
  • WSS 8.4 8.4a

🔐 Passwordless Zero Trust

รวม Passwordless + ZTNA — เข้าถึง resource โดยไม่ต้องจำ password เลย
  • No Password: FIDO2 + Biometric + Duo Push
  • No VPN: Duo Network Gateway แทน VPN
  • Per-Session Auth: ถาม MFA ทุกครั้งเมื่อเปิด session ใหม่
  • Least Privilege: ให้สิทธิ์เท่าที่จำเป็นสำหรับงานนั้นๆ
  • WSS 8.5 ZTNA

📋 WSS Requirement Mapping — Duo ครอบคลุมอะไรบ้าง

WSS ข้อหัวข้อDuo Feature🔑 MFA โดยตรง?
8.4Access ControlDuo Access Gateway, SSO, RBAC, ZTNA
8.4aRemote ConnectionDuo Beyond (ZTNA), VPN MFA
8.5MFA 🔑Duo Push, TOTP, FIDO2, Biometric, SMS, Phone — ทุก MFA Method
8.6Secure ConfigDevice Health, Trusted Endpoints
8.8Firewall/WAFDuo Network Gateway (ZTNA) เสริม Firewall
9.1MonitoringDuo Admin Logs, Authentication Logs, Identity Analytics
10.1IR PlanDuo Incident Response — Suspend User, Block Device, Revoke Token
🔑 WSS 8.5 MFA — Duo เป็นคำตอบหลัก!
WSS 8.5 กำหนดให้ ทุกบัญชีที่เข้าถึงระบบสำคัญต้องมี Multi-Factor Authentication — Duo รองรับครบทุก MFA Method (Push, TOTP, FIDO2/Passkey, Biometric, SMS, Phone) + Adaptive MFA + SSO + ZTNA

⚙️ Deployment Models — รูปแบบการใช้งาน

☁️ Duo Cloud (SaaS)

Duo เป็น SaaS — จัดการผ่าน cloud console ไม่ต้องติดตั้งเซิร์ฟเวอร์
  • Pros: ไม่ต้องดูแล infrastructure, auto-update, 99.99% SLA
  • Cons: ต้องมี internet access, data อยู่บน cloud
  • เหมาะกับ: องค์กรทั่วไป, SMB, Enterprise

🏢 DuO On-Premises (Duo Access Gateway)

ติดตั้ง Duo Access Gateway ใน data center ขององค์กร
  • Pros: ควบคุม data ได้เอง, ทำงาน offline ได้, comply กับ data sovereignty
  • Cons: ต้องดูแล infrastructure, patch management
  • เหมาะกับ: หน่วยงานรัฐ, ธนาคาร, องค์กรที่มี compliance สูง

📌 WSS 8.5 (MFA) — Duo Implementation Guide

WSS ข้อ 8.5 (มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์): "ผู้ให้บริการเว็บไซต์ต้องกำหนดให้มีการยืนยันตัวตนหลายปัจจัย (Multi-Factor Authentication) สำหรับบัญชีที่มีสิทธิ์เข้าถึงระบบบริหารจัดการเว็บไซต์ ระบบฐานข้อมูล และระบบสำคัญอื่นๆ"

✅ Duo Implementation Steps สำหรับ WSS 8.5

📋 1. ระบุ
systems
🔗 2. Connect
Duo SSO
👥 3. Enroll
users
⚙️ 4. Config
policy
🚀 5. Enforce
MFA
📊 6. Monitor
& audit
ขั้นตอนรายละเอียดDuo Feature
1. ระบุระบบระบุ target systems ที่ต้องมี MFA ตาม WSS 8.5 — admin panel, database, CI/CD, SSH, VPN
2. เชื่อมต่อIntegrate แต่ละระบบกับ Duo — SSO (SAML/OIDC), RADIUS, RDP, SSHDuo Integration
3. ลงทะเบียนEnroll ผู้ใช้ — ติดตั้ง Duo Mobile, ลงทะเบียน device, ตั้งค่า backup methodDuo Mobile App
4. ตั้งค่า Policyกำหนด Adaptive Policy — เมื่อไหร่ต้อง MFA, ข้าม MFA เมื่อไหร่, device trustDuo Admin Console
5. บังคับใช้เปิด MFA แบบบังคับ (Enforce) — ทุกคนต้อง MFA ก่อนเข้าถึงระบบDuo Enforcement
6. ติดตามตรวจสอบ authentication logs, audit trails, report complianceDuo Reporting & Logs

🚨 Duo Incident Response — การรับมือเมื่อมีเหตุการณ์

เมื่อเกิด security incident — Duo มีฟังก์ชันสำหรับ IR โดยเฉพาะ:

⛔ Suspend User

ระงับบัญชีผู้ใช้ — ป้องกัน access ต่อทันที
  • ระงับจาก Duo Admin Console หรือ SecureX
  • ส่ง email/sms แจ้ง alert
  • ยกเลิก session ปัจจุบันทั้งหมด
  • ป้องกันการ login ซ้ำ

📱 Bypass / Lock Device

จัดการ device ที่ถูก compromise
  • ตั้ง bypass code สำหรับ admin ที่ device เสีย
  • lock device ที่ถูกขโมย
  • ลบ device ออกจาก Duo ของ user
  • revoke all remembered devices

🔄 Emergency Access

กรณี MFA ล้มเหลว — ต้องมีวิธีสำรอง
  • Bypass Code — code ใช้ครั้งเดียวสำหรับกรณีฉุกเฉิน
  • SMS Backup — OTP ทาง SMS
  • Hardware Token — YubiKey ใช้ได้ offline
  • Admin Override — admin ระดับสูง bypass ให้ชั่วคราว

📊 Post-Incident Audit

ตรวจสอบหลังจาก incident
  • Authentication Log — ดูว่าใคร MFA เมื่อไหร่ จากที่ไหน
  • Admin Log — ดู action ของ admin บน console
  • Telemetry — Duo + SecureX dashboard
  • Compliance Report — export สำหรับ WSS audit
💡 Tip: Duo รองรับ WSS 10.1 (Incident Response Plan) — สามารถกำหนด playbook สำหรับ IR เช่น "เมื่อตรวจพบ compromised account → Suspend User + Revoke Tokens + Alert SOC"

💲 Duo Licensing Tiers

FeaturesDuo FreeDuo EssentialsDuo AdvantageDuo Premier
MFA (Push, TOTP, SMS, Phone)✅ 10 users
FIDO2/WebAuthn Passkey✅ 10 users
Biometric (Face ID, Touch ID)✅ 10 users
SSO (SAML/OIDC)✅ 10 apps
Adaptive MFA (Risk-based)
Device Trust / MDM
Duo Beyond (ZTNA)
Identity Analytics / ITDR
Incident Response Tools
WSS 8.5 Ready⚠️ จำกัด✅ พื้นฐาน✅ ครอบคลุม✅✅ ครบถ้วน
💡 Free Tier 10 users: Duo มี Free Plan สำหรับ 10 users แรก — รองรับ MFA พื้นฐาน + FIDO2 + Biometric เหมาะสำหรับทดลองหรือองค์กรขนาดเล็ก

📊 Duo vs MFA Solutions อื่น

Feature🔐 Cisco DuoMicrosoft AuthenticatorGoogle AuthenticatorOkta Verify
Push Notification✅ Standard + Verified Push
Number Matching (anti-fatigue)
TOTP
FIDO2 Passkey
Biometric✅ Face ID, Touch ID, Windows Hello✅ Face ID✅ Face ID
Adaptive MFA✅ Location, Device, Behavior, IP✅ Conditional Access✅ Okta MFA
SSO (IdP)✅ 20,000+ apps✅ (Azure AD)✅ 7,000+
ZTNA (Beyond VPN)✅ Duo Beyond✅ Okta ZT
Device Trust✅ MDM/Jamf/Intune✅ Intune✅ Device Trust
Free Tier✅ 10 users✅ ฟรี
WSS 8.5 MFA✅ เต็ม⚠️ บางส่วน

🎯 สรุป — Duo สำหรับ WSS

✅ จุดแข็ง

  • MFA หลากหลายที่สุดในตลาด (Push, TOTP, FIDO2, Biometric, SMS, Phone)
  • Adaptive MFA — ลด friction โดยไม่ลด security
  • SSO รองรับ 20,000+ แอป
  • ZTNA (Duo Beyond) — ปลอดภัยกว่า VPN
  • Free Tier 10 users — ทดลองฟรี
  • รองรับ WSS 8.5 MFA ครบถ้วน

⚠️ ข้อควรระวัง

  • Duo เป็นส่วนหนึ่งของ Cisco — ถ้าใช้ ecosystem Cisco อยู่แล้วดี แต่ถ้า multi-vendor อาจซับซ้อน
  • Free Tier จำกัด 10 users — จ่ายเมื่อเกิน
  • Adaptive MFA และ ZTNA ต้องใช้ Advantage/Premier tier
  • ขึ้นกับ internet ถ้าใช้ Duo Cloud (แต่ On-Prem ก็มี)
🔑 WSS 8.5 MFA Conclusion: Cisco Duo เป็นหนึ่งใน MFA Solution ที่ ครบถ้วนที่สุด สำหรับ WSS — รองรับทุก MFA Method มี Adaptive Policy, SSO, ZTNA, และ Device Trust ครบจบใน platform เดียว