如何使用雙因素認(rèn)證控制虛擬桌面訪問權(quán)限

責(zé)任編輯:editor005

作者:Alastair Cooke

2016-08-19 14:23:53

摘自:TechTarget中國

除了使用賬戶和密碼來控制虛擬桌面訪問權(quán)限之外,VDI部門還需要使用其他更為復(fù)雜的認(rèn)證方式,比如雙因素認(rèn)證。如果企業(yè)使用雙因素認(rèn)證(2FA)來控制虛擬桌面訪問權(quán)限,就能夠通過一種方式同時(shí)解決兩種問題。

僅僅使用傳統(tǒng)的密碼認(rèn)證方式并不能完全滿足VDI環(huán)境的當(dāng)前需求,因此企業(yè)需要確保在用戶設(shè)備上啟用第二種認(rèn)證方式或者使用經(jīng)常變化的一次性密碼。

除了使用賬戶和密碼來控制虛擬桌面訪問權(quán)限之外,VDI部門還需要使用其他更為復(fù)雜的認(rèn)證方式,比如雙因素認(rèn)證。

如果用戶只需要使用三種資源,那么傳統(tǒng)的密碼方式也許能夠滿足需求,但是現(xiàn)在用戶需要登陸數(shù)十、甚至上百種系統(tǒng),由于幾乎所有系統(tǒng)都已經(jīng)連接到互聯(lián)網(wǎng),這些系統(tǒng)任何時(shí)刻都有可能遭受攻擊,因此用戶需要不斷更改密碼。但是對(duì)于那些想要惡意獲取密碼的人來說,不論用戶如何更改密碼都無法有效阻止他們。

但是如果企業(yè)使用雙因素認(rèn)證(2FA)來控制虛擬桌面訪問權(quán)限,就能夠通過一種方式同時(shí)解決兩種問題。

如何使用雙因素認(rèn)證

VDI部門可以考慮使用經(jīng)常變化的一次性密碼或者其他多種方式來保護(hù)虛擬桌面訪問權(quán)限,但是每種方式都需要用戶擁有第二種認(rèn)證因素。第一種因素是傳統(tǒng)的用戶名和密碼組合,而第二種因素可能是一些其他方式——比如token、智能卡或者生物識(shí)別信息,這種雙因素認(rèn)證有時(shí)被稱為2FA。

RSA SecurID token是最廣為人知的第二種因素。這個(gè)長方形的“小鑰匙”能夠每分鐘產(chǎn)生新的偽隨機(jī)數(shù)字。在登陸系統(tǒng)時(shí),用戶必須輸入用戶名和密碼,以及當(dāng)前時(shí)刻顯示的token code。由于token code每分鐘都會(huì)發(fā)生變化,因此必要時(shí)用戶甚至可以在擁擠的房間當(dāng)中大聲說出當(dāng)前的token code,并且風(fēng)險(xiǎn)性很低。盡管RSA token fob是知名度最高的雙因素認(rèn)證解決方案,但是許多其他公司也提供了類似的物理2FA token。RSA公司還提供了軟件版本的SecurID token,因此企業(yè)不必一定購買物理硬件。

其他常見的第二種認(rèn)證因素就是設(shè)備自身了,不論其屬于公司還是用戶自己購買的。相比于SecurID token,用戶通常不會(huì)丟失或者忘帶自己的智能手機(jī)。當(dāng)然還有其他多種第二因素認(rèn)證方式,比如Google Authenticator,其使用智能手機(jī)。所有這些應(yīng)用程序都擁有服務(wù)器組件,能夠和公司的VDI代理進(jìn)行通訊,為用戶提供虛擬桌面認(rèn)證和交付。

當(dāng)然并非所有用戶使用的都是智能手機(jī)。對(duì)于銀行來說,通常采用基于短信的2FA方式實(shí)現(xiàn)安全訪問。用戶只需要使用自己的手機(jī)號(hào)碼進(jìn)行注冊(cè),當(dāng)想要登陸系統(tǒng)時(shí),銀行會(huì)通過短信的方式將一次性密碼發(fā)送給用戶。

如何使用2FA控制虛擬桌面訪問

如果想在VDI環(huán)境中加入雙因素認(rèn)證,傳統(tǒng)方式是在數(shù)據(jù)中心的多臺(tái)機(jī)器上安裝認(rèn)證服務(wù)器軟件,之后配置VDI代理使用這些機(jī)器進(jìn)行認(rèn)證。

但是VDI部門是否一定需要搭建和管理自己的認(rèn)證服務(wù)器,特別是如果他們使用桌面即服務(wù)的情況下?許多新一代的認(rèn)證系統(tǒng)都能夠通過服務(wù)的方式實(shí)現(xiàn)。企業(yè)不需要安裝自己的認(rèn)證服務(wù)器,只需要將認(rèn)證服務(wù)指向認(rèn)證提供商所提供的服務(wù)。

使用外部認(rèn)證服務(wù)這種方式能夠?qū)DI部門從維護(hù)和加固認(rèn)證服務(wù)器的任務(wù)當(dāng)中解脫出來,并且不需要任何前期投資,根據(jù)每個(gè)用戶每月的開銷計(jì)算運(yùn)營成本。為了使用這些服務(wù),VDI管理員應(yīng)該配置VDI代理使用來自于互聯(lián)網(wǎng)的外部服務(wù),而不是本地服務(wù)器。

大多數(shù)VDI產(chǎn)品都支持使用RADIUS協(xié)議進(jìn)行雙因素認(rèn)證。這是一種所有2FA服務(wù)都需要支持的標(biāo)準(zhǔn)。管理員通常不需要在本地安裝代理軟件,而只需要連接到外面的服務(wù)。

如果用戶能夠通過互聯(lián)網(wǎng)瀏覽器獲得虛擬桌面訪問權(quán)限,那么應(yīng)該使用雙因素認(rèn)證。因?yàn)橄啾扔谳斎胍淮蚊艽a,輸入兩次可以大大提升安全性。企業(yè)也可以考慮使用單點(diǎn)登錄產(chǎn)品,這樣在用戶登錄之后,就可以在不必再次登陸的情況下訪問盡可能多的資源了。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)