Modernisasi Identitas dalam Skala Besar

Sebuah lembaga layanan teknologi informasi pemerintah negara bagian yang besar mengelola identitas dan akses bagi lebih dari 145.000 pengguna di puluhan lembaga negara bagian, termasuk lembaga penegak hukum yang sistemnya harus memenuhi persyaratan keamanan yang ketat dari Layanan Informasi Peradilan Pidana (CJIS).  

Sebagai pelanggan setia RSA, agensi tersebut telah mempercayai RSA SecurID dan Authentication Manager untuk melindungi lingkungan on-premises-nya selama bertahun-tahun. Langkah selanjutnya yang dibutuhkan adalah sebuah solusi: cara untuk memperluas fondasi tepercaya tersebut ke lingkungan Microsoft yang berorientasi pada cloud, mengurangi beban layanan bantuan yang semakin meningkat seiring bertambahnya basis pengguna, serta membangun sistem otentikasi tanpa kata sandi yang tahan terhadap serangan phishing, sebagaimana yang dibutuhkan oleh strategi Zero Trust mereka. 

Lembaga tersebut menemukan solusi tersebut melalui RSA. Alih-alih mengganti sistem yang sudah ada, lembaga tersebut memodernisasi kemampuannya dengan memperluas platform RSA yang sudah ada ke cloud menggunakan RSA ID Plus, menambahkan fitur layanan mandiri dan otomatisasi siklus hidup dengan RSA ID Plus Prime, serta menerapkan RSA Help Desk Live Verify untuk mengatasi salah satu kerentanan yang paling sering dieksploitasi di organisasi besar mana pun: help desk itu sendiri. Hasilnya adalah platform identitas yang telah disahkan oleh FedRAMP, siap untuk FIPS 140-3, dan selaras dengan CJIS, yang bekerja secara terpadu dengan Microsoft Entra Identity, melindungi sumber daya cloud, hybrid, dan on-premises dari satu konsol terpadu. 

Organisasi TI pemerintah negara bagian beroperasi dalam skala yang membuat modernisasi identitas menjadi hal yang mendesak sekaligus kompleks. Lembaga ini sendiri mengelola lebih dari 145.000 identitas pengguna yang tersebar di puluhan entitas, masing-masing dengan profil risiko, kewajiban kepatuhan, dan kebutuhan otentikasi yang berbeda-beda. Infrastruktur Microsoft yang menjadi inti dari infrastrukturnya telah berkembang secara signifikan, dengan Microsoft 365 dan Microsoft Entra Identity kini menangani akses ke beban kerja berbasis cloud di seluruh perusahaan. Pada saat yang sama, sistem di lokasi, akses jaringan yang terhubung ke RADIUS, aplikasi warisan, dan lingkungan dengan keamanan tinggi yang tidak dapat dipindahkan ke cloud tetap menjadi bagian penting dari operasi sehari-hari. 

Microsoft menyediakan kemampuan identitas yang kuat di dalam ekosistemnya sendiri, namun area-area di mana Entra memiliki keterbatasan juga merupakan area di mana risiko lembaga ini terkonsentrasi: beban kerja hybrid dan on-premises, aplikasi warisan yang memerlukan otentikasi token perangkat keras, lingkungan yang terisolasi (air-gapped) atau bergantung pada RADIUS, serta kasus penggunaan dengan jaminan keamanan tinggi yang memenuhi persyaratan kepatuhan FIPS dan CJIS. Menutup celah kerentanan tersebut membutuhkan platform yang dirancang khusus untuk melengkapi di mana Microsoft berhenti. RSA ID Plus, sebagai pelengkap Microsoft Entra yang disahkan oleh FedRAMP, adalah platform tersebut. 

Infrastruktur identitas yang ada di lembaga tersebut berjalan di atas versi lama dari solusi otentikasi RSA yang dioperasikan di lokasi sendiri. Solusi lama tersebut mendukung sekitar 109.000 token perangkat lunak dan 36.000 token perangkat keras. Meskipun sistem tersebut sebelumnya dapat diandalkan, sistem tersebut kini tidak lagi memadai untuk memenuhi kebutuhan lembaga yang terus meningkat. Beberapa masalah yang sangat penting bagi kelancaran bisnis telah muncul: 

• Beban layanan bantuan: Permintaan reset kredensial dan onboarding menghasilkan sekitar 2.500 panggilan ke layanan bantuan setiap bulan. Pengalaman layanan mandiri yang terintegrasi dengan solusi lama hanya menawarkan penyesuaian yang terbatas dan tidak ada cara untuk mengurangi volume tersebut. Lebih parahnya lagi, layanan bantuan itu sendiri menjadi risiko keamanan: serangan rekayasa sosial yang menyamar sebagai pengguna sah untuk mendapatkan akses melalui saluran dukungan merupakan risiko yang belum ditangani. 
• Zero Trust dan MFA yang tahan terhadap serangan phishing: Inisiatif Zero Trust lembaga tersebut mensyaratkan otentikasi yang tahan terhadap serangan phishing di seluruh lingkungan, tidak hanya pada sistem cloud-native. Alur otentikasi tradisional berbasis OTP dan kata sandi tidak dapat memenuhi persyaratan tersebut, sehingga lembaga tersebut perlu memperluas penggunaannya ke metode push, biometrik, kode QR, serta perangkat otentikasi bersertifikasi FIDO2 dan FIDO, sambil tetap mempertahankan investasi token yang sudah ada. 
• Kepatuhan dan sertifikasi: Lembaga penegak hukum di dalam badan tersebut memerlukan otentikasi yang sesuai dengan CJIS, dilengkapi dengan jejak audit terpusat dan pelaporan secara real-time. Persyaratan keselarasan tingkat federal mengarah pada solusi yang disahkan oleh FedRAMP. Kasus penggunaan dengan tingkat keamanan tinggi menuntut penggunaan perangkat otentikasi berbasis perangkat keras yang bersertifikasi FIPS 140-3.
• Pelaporan dan tata kelola: Pelaporan manual berbasis spreadsheet tidak dapat disesuaikan untuk memenuhi tuntutan audit dan kepatuhan di seluruh 145.000 pengguna. Lembaga tersebut membutuhkan pemantauan otomatis dan secara real-time terhadap peristiwa otentikasi, status siklus hidup token, dan aktivitas pengguna. 

Proses modernisasi tersebut harus menangani semua hal ini sekaligus, dan melakukannya tanpa memaksakan pendekatan "rip-and-replace" yang akan mengganggu tenaga kerja sebanyak 145.000 pengguna sudah terbiasa dengan otentikasi RSA. 

RSA ID Plus telah mendapat otorisasi dari FedRAMP dan dirancang khusus untuk sangat kompleks lingkungan hibrida. Aplikasi ini terintegrasi dengan Microsoft Entra Identitas melalui SAML dan OpenID Connect, yang memperluas kebijakan otentikasi yang konsisten ke seluruh Microsoft 365, aplikasi yang dihosting di cloud, dan sistem di lokasi sendiri, tanpa mengganti lapisan identitas Microsoft atau mengharuskan lembaga tersebut mengelola dua konsol terpisah. Entra menangani cloud Microsoft, sedangkan RSA menangani semua hal lainnya: RADIUS, aplikasi warisan, lingkungan yang terisolasi secara fisik, serta beban kerja yang membutuhkan jaminan keamanan lebih tinggi daripada yang disediakan oleh alat-alat berbasis cloud. 

“Badan tersebut tidak perlu memilih antara melindungi lingkungan Microsoft-nya dan mempertahankan investasinya di RSA. RSA ID Plus memungkinkan keduanya dilakukan secara bersamaan.”

RSA juga menawarkan sesuatu yang tidak dapat diberikan oleh solusi terpisah mana pun: solusi lengkap untuk masalah layanan bantuan. RSA Help Desk Live Verify (sedang dalam proses paten) menyediakan jaminan identitas dua arah tanpa kata sandi untuk interaksi help desk, sehingga memungkinkan staf help desk dan pengguna untuk memverifikasi identitas satu sama lain tanpa PIN, rahasia bersama, atau pertanyaan berbasis pengetahuan yang dapat dicari atau dimanipulasi melalui rekayasa sosial. Bagi sebuah lembaga yang mengelola 145.000 pengguna Di puluhan entitas, Help Desk Live Verify berhasil mengatasi kerentanan sistemik yang tidak dapat diatasi hanya dengan perluasan MFA semata. 

Untuk skenario penggunaan dengan tingkat jaminan tertinggi di lembaga tersebut, lingkungan yang tercakup dalam CJIS, sistem penegakan hukum, serta peran yang memerlukan perangkat keras bersertifikasi FIPS, RSA menawarkan seri RSA iShield Key 2: otentikator perangkat keras bersertifikasi FIDO2 dengan sertifikasi FIPS 140-3 Level 3, yang mendukung otentikasi tanpa kata sandi dan tahan phishing yang memenuhi Perintah Eksekutif 14028, OMB M-22-09, dan M-24-14. Tidak ada vendor lain dalam evaluasi ini yang dapat memberikan tingkat jaminan perangkat keras setinggi itu bersamaan dengan cakupan solusi hibrida yang ditawarkan oleh RSA. 

Proses pertunangan tersebut difasilitasi melalui Teknologi ThunderCat sebagai pengecer solusi dan Carahsoft Technology Corp Sebagai distributor, keduanya membawa pengalaman mendalam di bidang pengadaan sektor publik ke dalam program ini. RSA Professional Services menyediakan seorang konsultan tetap paruh waktu selama dua belas bulan, yang ditempatkan langsung di lingkungan lembaga tersebut, dan bertanggung jawab atas perancangan, pelaksanaan, serta transfer pengetahuan selama proses berlangsung. 

Penerapan ini dilakukan dalam dua tahap. Pada tahap pertama, RSA ID Plus diterapkan dalam model cloud hibrida, yang menghubungkan solusi otentikasi RSA lama milik lembaga tersebut ke platform cloud RSA melalui Identity Routers yang tertanam. Token perangkat keras dan perangkat lunak yang sudah ada tetap digunakan tanpa perlu pendaftaran ulang. Microsoft Active Directory dan LDAP diintegrasikan sebagai sumber identitas. Kebijakan otentikasi diperluas ke Microsoft Entra dan Microsoft 365 melalui SAML dan OIDC. Seluruh jajaran otentikator modern, termasuk notifikasi push, biometrik, kode QR, serta perangkat keras bersertifikasi FIDO2 dan FIDO, diaktifkan bersamaan dengan aset token warisan. Lembaga tersebut meluncurkan portal single sign-on (SSO) pertamanya.  

Pada fase kedua, RSA ID Plus Prime diintegrasikan ke dalam platform. Portal Layanan Mandiri Prime menggantikan konsol Authentication Manager yang lama, yang dikonfigurasi untuk meniru alur kerja yang sudah ada sehingga transisi tersebut hanya memerlukan pelatihan ulang minimal. Portal Administrasi Help Desk memberikan antarmuka khusus bagi staf dukungan, sementara RSA Help Desk Live Verify melindungi interaksi tersebut dari serangan rekayasa sosial. Kerangka kerja integrasi Prime AMIS menggantikan pelaporan manual dengan kemampuan API, alur kerja, dan audit otomatis secara real-time. Verifikasi identitas melalui Portal Verifikasi Identitas Prime sebagai antarmuka depan untuk Socure ID Proofing (solusi verifikasi identitas yang sudah ada di lembaga tersebut) mengamankan dan merampingkan alur kerja orientasi pengguna baru serta pemulihan kredensial tanpa memerlukan intervensi TI yang intensif terhadap pengguna akhir. 

Modernisasi tersebut membuahkan hasil dalam tiga aspek: postur keamanan, efisiensi operasional, dan kesiapan kepatuhan. 

Keamanan dan Kepatuhan 

• MFA yang tahan terhadap phishing di seluruh perusahaan: Lembaga tersebut beralih dari OTP tradisional ke rangkaian lengkap alat otentikasi yang tahan terhadap serangan phishing, termasuk notifikasi push, biometrik, kode QR, FIDO2, dan perangkat keras bersertifikasi FIPS 140-3, yang dikelola dari satu konsol tunggal di seluruh lingkungan cloud, hybrid, dan on-premises. Hal ini memenuhi mandat Zero Trust dan memenuhi persyaratan CJIS terkait otentikasi dengan tingkat jaminan tinggi dalam sistem penegakan hukum.
• Kesesuaian antara FedRAMP dan FIPS: Izin FedRAMP yang dimiliki RSA ID Plus memenuhi standar kepatuhan federal yang dibutuhkan oleh lembaga tersebut. Untuk kasus penggunaan dengan tingkat jaminan tertinggi, sertifikasi FIPS 140-3 Level 3 dari RSA iShield Key 2 memenuhi persyaratan berdasarkan Perintah Eksekutif 14028 dan OMB M-22-09, sementara tidak ada alternatif yang setara yang tersedia dari perangkat bawaan Microsoft. 
• Risiko rekayasa sosial pada layanan bantuan telah dihilangkan: RSA Help Desk Live Verify telah menutup celah serangan pada layanan bantuan dengan mengganti verifikasi berbasis pengetahuan dengan sistem jaminan identitas dua arah tanpa kata sandi, sehingga memastikan baik pengguna maupun staf dukungan tidak dapat dipengaruhi melalui rekayasa sosial hingga kredensial mereka terkompromi. 

Peningkatan Operasional 

• Jumlah permintaan bantuan berkurang: Portal Layanan Mandiri Prime memungkinkan pengguna untuk mengelola kredensial mereka sendiri, mendaftarkan alat otentikasi, dan menyelesaikan proses onboarding tanpa campur tangan tim TI. Lembaga tersebut memperkirakan dapat mengurangi 2.500 panggilan ke layanan bantuan per bulan untuk permintaan yang berkaitan dengan identitas.
• Pelaporan secara real-time dan kesiapan audit: Pelaporan otomatis melalui kerangka kerja Prime AMIS telah menggantikan proses manual, sehingga tim kepatuhan dapat memantau secara real-time peristiwa otentikasi, status siklus hidup token, dan aktivitas pengguna—hal yang sangat penting untuk memenuhi kewajiban audit CJIS di seluruh lembaga penegak hukum di bawah badan tersebut. 
• Modernisasi tanpa gangguan: Sebanyak 109.000 token perangkat lunak dan 36.000 token perangkat keras milik lembaga tersebut berhasil dipertahankan dan dialihkan ke sistem baru. Tidak diperlukan pendaftaran ulang bagi 145.000 pengguna. Portal layanan mandiri yang baru dikonfigurasi agar mencerminkan alur kerja yang sudah ada. Pengguna akhir merasakan transisi ini sebagai suatu peningkatan, bukan gangguan. 
• Ketersediaan tinggi dalam skala besar: Arsitektur hibrida dengan ketersediaan tinggi ini memastikan ketahanan di seluruh jalur otentikasi—baik di cloud, di lokasi, maupun RADIUS—tanpa perlu menambah infrastruktur. 

Penguatan Lingkungan Microsoft 

• RSA sebagai lapisan keamanan yang dibutuhkan Entra: RSA ID Plus memperluas kebijakan otentikasi ke seluruh lingkungan Microsoft 365, beban kerja Azure, dan sistem di lokasi melalui satu integrasi tunggal, sehingga menambahkan cakupan hybrid, jaminan perangkat keras, dan kedalaman kepatuhan yang tidak dapat disediakan oleh Microsoft Entra sendiri. Integrasi RSA/Microsoft Entra External Authentication Method (EAM) mempertahankan investasi Microsoft yang sudah ada sekaligus meningkatkan standar keamanan di seluruh lingkungan gabungan tersebut. 
• Pengalaman yang seragam di kedua platform: Portal SSO RSA My Page menyediakan antarmuka otentikasi yang seragam bagi pengguna, baik beban kerja mereka berada di Microsoft 365 maupun di sistem on-premises. Kebijakan tersebut berlaku bagi pengguna di mana pun mereka berada, terlepas dari lingkungannya. 

Platform yang saat ini dioperasikan oleh lembaga tersebut dirancang untuk berkembang. Arsitektur hibridnya mampu menampung lembaga, pengguna, dan kasus penggunaan baru tanpa perlu merombak arsitektur. Fitur FIDO2, verifikasi identitas, dan perangkat keras bersertifikasi FIPS telah tersedia untuk mendukung kebijakan tanpa kata sandi seiring dengan perluasannya ke seluruh entitas negara bagian. Transfer pengetahuan yang terintegrasi dalam program residensi RSA Professional Services memastikan bahwa staf lembaga tersebut dapat mengoperasikan dan mengembangkan platform secara mandiri. 

Bagi sebuah organisasi pemerintah negara bagian yang telah mempercayai RSA selama bertahun-tahun dan perlu melakukan modernisasi tanpa harus memulai dari awal, langkah ke depan justru melalui kemitraan yang sudah terjalin, serta melalui lingkungan Microsoft yang kini jauh lebih aman berkat kemitraan tersebut. 

Kegiatan ini diselenggarakan bekerja sama dengan GunturCdi Technology, salah satu pengecer teknologi terkemuka di sektor publik, dan Carahsoft Technology Corp, salah satu distributor TI pemerintah terbesar di Amerika Serikat. GunturCdi dan pengalaman Carahsoft dalam menavigasi saluran pengadaan di tingkat negara bagian dan federal turut membantu mewujudkan program modernisasi ini hingga tahap penandatanganan kontrak secara efisien, dan keterlibatan mereka yang berkelanjutan dalam ekosistem RSA mendukung inisiatif-inisiatif identitas di sektor publik yang sedang berlangsung di seluruh negeri.