虛擬桌面的登錄過程對黑客來說非常脆弱,但是可以通過加密以及雙因素認證確保VDI用戶認證的安全性。
圖1 VDI用戶安全認證
給用戶提供一臺物理PC意味著他們需要PC訪問公司的系統(tǒng)。過去只能夠通過局域網(wǎng)訪問。但是在過去的十年,員工在家辦公或者在具有互聯(lián)網(wǎng)連接的地方辦公已經(jīng)變得很普遍。VDI使得通過互聯(lián)網(wǎng)訪問成為更加簡單以及更加通用的工作方式,但是互聯(lián)網(wǎng)并不是個友好的地方。
使用加密保護用戶憑據(jù)
首先,存在的一個風險就是監(jiān)視網(wǎng)絡的觀察者能夠看到你訪問VDI環(huán)境的用戶名以及密碼。如果能夠監(jiān)測到實際的數(shù)據(jù),為什么要猜測用戶以及密碼呢?為了保護在網(wǎng)絡比如互聯(lián)網(wǎng)中傳輸?shù)挠脩魬{據(jù),一定要確保用戶名以及密碼被加密了。請記住并不是所有的員工都很友好而且并不是網(wǎng)絡中的所有人都是你的員工。將所有網(wǎng)絡看作是充滿敵意的,即使是在辦公室中的網(wǎng)絡。
最為常見的加密方式是基于用戶證書的SSL連接。SSL中最為關鍵的因素之一是信任:你相信證書的發(fā)行方嗎?建立信任并只允許用戶接受可信的證書是使用SSL確保密碼安全的一個關鍵因素。
如果不對非常可信的源使用SSL認證,那么你必須允許用戶接受不受信的證書。即使是在內(nèi)部網(wǎng)絡,這也不是個好主意。務必部署受信的證書并強制只能使用經(jīng)過加密的受信證書以避免證書以及數(shù)據(jù)被竊聽。
安全密碼
需要了解的一個關鍵問題就是密碼不是非常安全。密碼列表的統(tǒng)計分析表明用戶的很大一部分密碼是非常簡單的,也就是字母以及數(shù)字的組合。盡管通過公司的網(wǎng)站計算出可能的用戶名并不需要做很多工作,但用戶名可能要比密碼更難猜測。破解能夠通過互聯(lián)網(wǎng)使用用戶名以及密碼進行訪問的任一應用程序不會花太多的時間,即使應用只能夠通過SSL訪問。
對密碼有益的補充是第二個加密因素,或者是不穩(wěn)定密碼或者是物理標記。不穩(wěn)定密碼的生命周期很短。常規(guī)密碼可能一個月才會過期,不穩(wěn)定密碼可能每分鐘都會發(fā)生改變。
其中一個例子就是RSA密鑰卡,每分鐘生成一個新的六位數(shù)字。用戶必須輸入用戶名以及每分鐘新生成的密碼才能登錄系統(tǒng)。黑客通過網(wǎng)絡或者偷看獲得的不穩(wěn)定密碼,必須在一分鐘以內(nèi)使用。即使是這樣,只有在用戶使用密碼之前黑客才能使用該密碼,因為正確的密碼只能夠被接受一次。
物理標記是類似智能卡的設備,必須在VDI客戶端設備上將智能卡插入到讀卡器中才能進行訪問。標記通常和用戶名、密碼或者PIN一起使用,因此只有標記是不允許訪問的。這意味著只偷走標記沒有任何用處。
另一個雙因素認證機制是使用電話號碼作為第二個認證因素,或者向用戶發(fā)送一個不穩(wěn)定密碼或者在登錄時讓用戶撥打特定的號碼。目標是組合用戶名、密碼或者PIN,電話,RSA標記,智能卡才能夠允許登錄系統(tǒng)。
VDI并非天生就是安全的,這和你如何實現(xiàn)該技術有關。像樣的VDI產(chǎn)品將提供端到端加密而且允許使用雙因素認證。無論用戶在哪兒登錄你都應該啟用加密,無論是否存在明顯的攻擊風險,例如是否允許通過互聯(lián)網(wǎng)登錄,你都應該部署雙因素認證。大多數(shù)VDI產(chǎn)品能夠基于用戶的連接方式選擇不同的身份認證機制。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:如何確保VDI用戶認證安全
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121511666.html