- 會議論文
- OpenAccess
基於PrivacyIDEA之雙因子認證機制的設計與實現 - 以Kibana為例
摘要
Elasticsearch為一分散式搜尋系統,因其強大且快速的搜尋能力與開放原始碼等特點,被廣泛運用在系統日誌收集與查詢,另外可搭配同為開放原始碼的Logstash與網頁界面Kibana,即可快速搜尋與視覺化大量系統日誌,通稱為ELK Stack,此為近年來相當熱門的應用模式,但開放原始碼版本之Kibana不支援多用戶與使用者登入控管,只要持有網頁連結即可查詢機敏系統日誌,可能造成資訊安全漏洞,亦不符合資訊安全規範,因此在本論文裡,我們將基於PrivacyIDEA並結合國家高速網路與計算中心現有身份認證整合平台,建立Kibana雙因子認證(Two-Factor Authentication,TFA)登入機制,系統管理員除了要以傳統帳號密碼登入之外,還需透過手機應用程式如Google Authenticator 產生一次性密碼(One-Time Password,OTP),進行二次驗證後才能使用Kibana查看機敏系統日誌。目前已有25位系統管理員使用此機制登入Kibana查詢與分析系統日誌。