微软有不少产品都和商务有关,所以对他们来说如何为客户的数据提供安全保障是一个至关重要的问题。而这可能就是其收购智能手机身份认证服务商
PhoneFactor
的原因,后者提供的服务能作为密码安全系统的补充,用户在输入密码后还需通过电话、短信或
PhoneFactor
的应用完成进一步认证,才能最终进入系统。微软计划将这项功能整合到
SharePoint、Azure、Office 365
等服务中去,让用户的移动设备(应该还是以智能手机为主吧)成为保护其安全的又一道「铁闸」。

图片 1

仅仅使用传统的密码认证方式并不能完全满足VDI环境的当前需求,因此企业需要确保在用户设备上启用第二种认证方式或者使用经常变化的一次性密码。

除了使用账户和密码来控制虚拟桌面访问权限之外,VDI部门还需要使用其他更为复杂的认证方式,比如双因素认证。

如果用户只需要使用三种资源,那么传统的密码方式也许能够满足需求,但是现在用户需要登陆数十、甚至上百种系统,由于几乎所有系统都已经连接到互联网,这些系统任何时刻都有可能遭受攻击,因此用户需要不断更改密码。但是对于那些想要恶意获取密码的人来说,不论用户如何更改密码都无法有效阻止他们。

但是如果企业使用双因素认证(2FA)来控制虚拟桌面访问权限,就能够通过一种方式同时解决两种问题。

如何使用双因素认证

VDI部门可以考虑使用经常变化的一次性密码或者其他多种方式来保护虚拟桌面访问权限,但是每种方式都需要用户拥有第二种认证因素。第一种因素是传统的用户名和密码组合,而第二种因素可能是一些其他方式——比如token、智能卡或者生物识别信息,这种双因素认证有时被称为2FA。

RSA SecurID
token是最广为人知的第二种因素。这个长方形的“小钥匙”能够每分钟产生新的伪随机数字。在登陆系统时,用户必须输入用户名和密码,以及当前时刻显示的token
code。由于token
code每分钟都会发生变化,因此必要时用户甚至可以在拥挤的房间当中大声说出当前的token
code,并且风险性很低。尽管RSA token
fob是知名度最高的双因素认证解决方案,但是许多其他公司也提供了类似的物理2FA
token。RSA公司还提供了软件版本的SecurID
token,因此企业不必一定购买物理硬件。

其他常见的第二种认证因素就是设备自身了,不论其属于公司还是用户自己购买的。相比于SecurID
token,用户通常不会丢失或者忘带自己的智能手机。当然还有其他多种第二因素认证方式,比如Google
Authenticator,其使用智能手机。所有这些应用程序都拥有服务器组件,能够和公司的VDI代理进行通讯,为用户提供虚拟桌面认证和交付。

当然并非所有用户使用的都是智能手机。对于银行来说,通常采用基于短信的2FA方式实现安全访问。用户只需要使用自己的手机号码进行注册,当想要登陆系统时,银行会通过短信的方式将一次性密码发送给用户。

如何使用2FA控制虚拟桌面访问

如果想在VDI环境中加入双因素认证,传统方式是在数据中心的多台机器上安装认证服务器软件,之后配置VDI代理使用这些机器进行认证。

但是VDI部门是否一定需要搭建和管理自己的认证服务器,特别是如果他们使用桌面即服务的情况下?许多新一代的认证系统都能够通过服务的方式实现。企业不需要安装自己的认证服务器,只需要将认证服务指向认证提供商所提供的服务。

使用外部认证服务这种方式能够将VDI部门从维护和加固认证服务器的任务当中解脱出来,并且不需要任何前期投资,根据每个用户每月的开销计算运营成本。为了使用这些服务,VDI管理员应该配置VDI代理使用来自于互联网的外部服务,而不是本地服务器。

大多数VDI产品都支持使用RADIUS协议进行双因素认证。这是一种所有2FA服务都需要支持的标准。管理员通常不需要在本地安装代理软件,而只需要连接到外面的服务。

如果用户能够通过互联网浏览器获得虚拟桌面访问权限,那么应该使用双因素认证。因为相比于输入一次密码,输入两次可以大大提升安全性。企业也可以考虑使用单点登录产品,这样在用户登录之后,就可以在不必再次登陆的情况下访问尽可能多的资源了。

【编辑推荐】