如何使用双因素认证控制虚拟桌面访问权限

日期:2016-8-19作者:Alastair Cooke翻译:王学强来源:TechTarget中国 英文

【TechTarget中国原创】

仅仅使用传统的密码认证方式并不能完全满足VDI环境的当前需求,因此企业需要确保在用户设备上启用第二种认证方式或者使用经常变化的一次性密码。

除了使用账户和密码来控制虚拟桌面访问权限之外,VDI部门还需要使用其他更为复杂的认证方式,比如双因素认证。

如果用户只需要使用三种资源,那么传统的密码方式也许能够满足需求,但是现在用户需要登陆数十、甚至上百种系统,由于几乎所有系统都已经连接到互联网,这些系统任何时刻都有可能遭受攻击,因此用户需要不断更改密码。但是对于那些想要恶意获取密码的人来说,不论用户如何更改密码都无法有效阻止他们。

但是如果企业使用双因素认证(2FA)来控制虚拟桌面访问权限,就能够通过一种方式同时解决两种问题。

如何使用双因素认证

VDI部门可以考虑使用经常变化的一次性密码或者其他多种方式来保护虚拟桌面访问权限,但是每种方式都需要用户拥有第二种认证因素。第一种因素是传统的用户名和密码组合,而第二种因素可能是一些其他方式——比如token、智能卡或者生物识别信息,这种双因素认证有时被称为2FA。

RSA SecurID token是最广为人知的第二种因素。这个长方形的“小钥匙”能够每分钟产生新的伪随机数字。在登陆系统时,用户必须输入用户名和密码,以及当前时刻显示的token code。由于token code每分钟都会发生变化,因此必要时用户甚至可以在拥挤的房间当中大声说出当前的token code,并且风险性很低。尽管RSA token fob是知名度最高的双因素认证解决方案,但是许多其他公司也提供了类似的物理2FA token。RSA公司还提供了软件版本的SecurID token,因此企业不必一定购买物理硬件。

其他常见的第二种认证因素就是设备自身了,不论其属于公司还是用户自己购买的。相比于SecurID token,用户通常不会丢失或者忘带自己的智能手机。当然还有其他多种第二因素认证方式,比如Google Authenticator,其使用智能手机。所有这些应用程序都拥有服务器组件,能够和公司的VDI代理进行通讯,为用户提供虚拟桌面认证和交付。

当然并非所有用户使用的都是智能手机。对于银行来说,通常采用基于短信的2FA方式实现安全访问。用户只需要使用自己的手机号码进行注册,当想要登陆系统时,银行会通过短信的方式将一次性密码发送给用户。

如何使用2FA控制虚拟桌面访问

如果想在VDI环境中加入双因素认证,传统方式是在数据中心的多台机器上安装认证服务器软件,之后配置VDI代理使用这些机器进行认证。

但是VDI部门是否一定需要搭建和管理自己的认证服务器,特别是如果他们使用桌面即服务的情况下?许多新一代的认证系统都能够通过服务的方式实现。企业不需要安装自己的认证服务器,只需要将认证服务指向认证提供商所提供的服务。

使用外部认证服务这种方式能够将VDI部门从维护和加固认证服务器的任务当中解脱出来,并且不需要任何前期投资,根据每个用户每月的开销计算运营成本。为了使用这些服务,VDI管理员应该配置VDI代理使用来自于互联网的外部服务,而不是本地服务器。

大多数VDI产品都支持使用RADIUS协议进行双因素认证。这是一种所有2FA服务都需要支持的标准。管理员通常不需要在本地安装代理软件,而只需要连接到外面的服务。

如果用户能够通过互联网浏览器获得虚拟桌面访问权限,那么应该使用双因素认证。因为相比于输入一次密码,输入两次可以大大提升安全性。企业也可以考虑使用单点登录产品,这样在用户登录之后,就可以在不必再次登陆的情况下访问尽可能多的资源了。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

Alastair Cooke
Alastair Cooke

投稿作者

虚拟桌面管理>更多

  • 淘汰Hyper-V replication 拥抱Storage Replica

    Windows Server 2012首次引入了复制,在第二台Hyper-V服务器上创建了一个同步的虚拟机副本。如果主虚拟机出问题,可以将副本置于在线状态并开始使用。

  • 如何应对三种最棘手的VDI挑战

    很少有技术性项目只需要遵循厂商的建议就能够轻松完成,而企业在部署VDI时可能会面临更多的问题。

  • VDI与DaaS:如何抉择?

    VDI帮助管理员集中控制并保护桌面及应用。桌面即服务(DaaS)承诺部署更轻松并能够节省更多的成本。

  • 影响云桌面采用的顾虑

    很多人对于DaaS的成本、授权和安全等方面依然抱有怀疑态度,因此严重阻碍了这项技术的广泛应用。

技术手册>更多

  • 虚拟机资源配置指南

    本期《虚拟机资源配置指南》技术手册旨在帮助IT管理员找准虚拟机资源合理分配的界线,并通过正确实施、配置安全性,避免虚拟机蔓延等多方面技巧,最终在充分保证虚拟机性能优化的同时,合理控制运营成本。

  • 超融合产品EVO:RAIL使用指南

    VMware已经建立了一个合作伙伴列表,该列表中的厂商将提供EVO:RAIL的硬件部分。尽管底层的技术相同,但HP、Dell以及合作伙伴列表上的其他厂商提供的产品还是有一些差异。

  • VMware NSX部署指南

    在VMworld 2013上,VMware发布了它的下一代网络虚拟化平台NSX,两年过去了,VMware NSX有了哪些变化?您是否已经部署VMware NSX?

  • vSphere高级技巧

    虽然vSphere 6要等到2015年初才会发布,但是大家对它的热情不减。相信很多企业都已经在使用vSphere,本期技术手册分享一些关于vSphere的高级技巧,例如如何重新设计vSphere让其发挥最大潜力。

TechTarget

最新资源
  • 安全
  • 存储
  • CIO
  • 网络
  • 服务器
  • 数据中心