如何使用雙因素認證控制虛擬桌面訪問權限
僅僅使用傳統的密碼認證方式并不能完全滿足VDI環境的當前需求,因此企業需要確保在用戶設備上啟用第二種認證方式或者使用經常變化的一次性密碼。
除了使用賬戶和密碼來控制虛擬桌面訪問權限之外,VDI部門還需要使用其他更為復雜的認證方式,比如雙因素認證。
如果用戶只需要使用三種資源,那么傳統的密碼方式也許能夠滿足需求,但是現在用戶需要登陸數十、甚至上百種系統,由于幾乎所有系統都已經連接到互聯網,這些系統任何時刻都有可能遭受攻擊,因此用戶需要不斷更改密碼。但是對于那些想要惡意獲取密碼的人來說,不論用戶如何更改密碼都無法有效阻止他們。
但是如果企業使用雙因素認證(2FA)來控制虛擬桌面訪問權限,就能夠通過一種方式同時解決兩種問題。
如何使用雙因素認證
VDI部門可以考慮使用經常變化的一次性密碼或者其他多種方式來保護虛擬桌面訪問權限,但是每種方式都需要用戶擁有第二種認證因素。第一種因素是傳統的用戶名和密碼組合,而第二種因素可能是一些其他方式——比如token、智能卡或者生物識別信息,這種雙因素認證有時被稱為2FA。
RSA SecurID token是最廣為人知的第二種因素。這個長方形的“小鑰匙”能夠每分鐘產生新的偽隨機數字。在登陸系統時,用戶必須輸入用戶名和密碼,以及當前時刻顯示的token code。由于token code每分鐘都會發生變化,因此必要時用戶甚至可以在擁擠的房間當中大聲說出當前的token code,并且風險性很低。盡管RSA token fob是知名度最高的雙因素認證解決方案,但是許多其他公司也提供了類似的物理2FA token。RSA公司還提供了軟件版本的SecurID token,因此企業不必一定購買物理硬件。
其他常見的第二種認證因素就是設備自身了,不論其屬于公司還是用戶自己購買的。相比于SecurID token,用戶通常不會丟失或者忘帶自己的智能手機。當然還有其他多種第二因素認證方式,比如Google Authenticator,其使用智能手機。所有這些應用程序都擁有服務器組件,能夠和公司的VDI代理進行通訊,為用戶提供虛擬桌面認證和交付。
當然并非所有用戶使用的都是智能手機。對于銀行來說,通常采用基于短信的2FA方式實現安全訪問。用戶只需要使用自己的手機號碼進行注冊,當想要登陸系統時,銀行會通過短信的方式將一次性密碼發送給用戶。
如何使用2FA控制虛擬桌面訪問
如果想在VDI環境中加入雙因素認證,傳統方式是在數據中心的多臺機器上安裝認證服務器軟件,之后配置VDI代理使用這些機器進行認證。
但是VDI部門是否一定需要搭建和管理自己的認證服務器,特別是如果他們使用桌面即服務的情況下?許多新一代的認證系統都能夠通過服務的方式實現。企業不需要安裝自己的認證服務器,只需要將認證服務指向認證提供商所提供的服務。
使用外部認證服務這種方式能夠將VDI部門從維護和加固認證服務器的任務當中解脫出來,并且不需要任何前期投資,根據每個用戶每月的開銷計算運營成本。為了使用這些服務,VDI管理員應該配置VDI代理使用來自于互聯網的外部服務,而不是本地服務器。
大多數VDI產品都支持使用RADIUS協議進行雙因素認證。這是一種所有2FA服務都需要支持的標準。管理員通常不需要在本地安裝代理軟件,而只需要連接到外面的服務。
如果用戶能夠通過互聯網瀏覽器獲得虛擬桌面訪問權限,那么應該使用雙因素認證。因為相比于輸入一次密碼,輸入兩次可以大大提升安全性。企業也可以考慮使用單點登錄產品,這樣在用戶登錄之后,就可以在不必再次登陸的情況下訪問盡可能多的資源了。
