如何確保VDI使用者認證安全

來源:互聯網
上載者:User

   虛擬桌面的登入過程對駭客來說非常脆弱,但是可以通過加密以及雙因素認證確保VDI使用者認證的安全性。

  虛擬桌面的登入過程對駭客來說非常脆弱,但是可以通過加密以及雙因素認證確保VDI使用者認證的安全性。

  給使用者提供一台物理PC意味著他們需要PC訪問公司的系統。過去只能夠通過區域網路訪問。但是在過去的十年,員工在家辦公或者在具有互連網串連的地方辦公已經變得很普遍。VDI使得通過互連網訪問成為更加簡單以及更加通用的工作方式,但是互連網並不是個友好的地方。

  使用加密保護使用者憑證

  首先,存在的一個風險就是監視網路的觀察者能夠看到你訪問VDI環境的使用者名稱以及密碼。如果能夠監測到實際的資料,為什麼要猜測使用者以及密碼呢?為了保護在網路比如互連網中傳輸的使用者憑證,一定要確保使用者名稱以及密碼被加密了。請記住並不是所有的員工都很友好而且並不是網路中的所有人都是你的員工。將所有網路看作是充滿敵意的,即使是在辦公室中的網路。

  最為常見的加密方式是基於使用者認證的SSL串連。SSL中最為關鍵的因素之一是信任:你相信認證的發行方嗎?建立信任並只允許使用者接受可信的認證是使用SSL確保密碼安全的一個關鍵因素。

  如果不對非常可信的源使用SSL認證,那麼你必須允許使用者接受不受信的認證。即使是在內部網路,這也不是個好主意。務必部署受信的認證並強制只能使用經過加密的受信認證以避免認證以及資料被竊聽。

  安全密碼

  需要瞭解的一個關鍵問題就是密碼不是非常安全。密碼列表的統計分析表明使用者的很大一部分密碼是非常簡單的,也就是字母以及數位組合。儘管通過公司的網站計算出可能的使用者名稱並不需要做很多工作,但使用者名稱可能要比密碼更難猜測。破解能夠通過互連網使用使用者名稱以及密碼進行訪問的任一應用程式不會花太多的時間,即使應用只能夠通過SSL訪問。

  對密碼有益的補充是第二個加密因素,或者是不穩定密碼或者是物理標記。不穩定密碼的生命週期很短。常規密碼可能一個月才會到期,不穩定密碼可能每分鐘都會發生改變。

  其中一個例子就是RSA密鑰卡,每分鐘產生一個新的六位元字。使用者必須輸入使用者名稱以及每分鐘新產生的密碼才能登入系統。駭客通過網路或者偷看獲得的不穩定密碼,必須在一分鐘以內使用。即使是這樣,只有在使用者使用密碼之前駭客才能使用該密碼,因為正確的密碼只能夠被接受一次。

  物理標記是類似智慧卡的裝置,必須在VDI用戶端裝置上將智慧卡插入到讀卡機中才能進行訪問。標記通常和使用者名稱、密碼或者PIN一起使用,因此只有標記是不允許訪問的。這意味著只偷走標記沒有任何用處。

  另一個雙因素認證機制是使用電話號碼作為第二個認證因素,或者向使用者發送一個不穩定密碼或者在登入時讓使用者撥打特定的號碼。目標是組合使用者名稱、密碼或者PIN,電話,RSA標記,智慧卡才能夠允許登入系統。

  VDI並非天生就是安全的,這和你如何?該技術有關。像樣的VDI產品將提供端到端加密而且允許使用雙因素認證。無論使用者在哪兒登入你都應該啟用加密,無論是否存在明顯的攻擊風險,例如是否允許通過互連網登入,你都應該部署雙因素認證。大多數VDI產品能夠基於使用者的串連方式選擇不同的身份認證機制。

相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。