虚拟桌面的登录过程对黑客来说非常脆弱,但是可以通过加密以及双因素认证确保VDI用户认证的安全性。
虚拟桌面的登录过程对黑客来说非常脆弱,但是可以通过加密以及双因素认证确保VDI用户认证的安全性。
给用户提供一台物理PC意味着他们需要PC访问公司的系统。过去只能够通过局域网访问。但是在过去的十年,员工在家办公或者在具有互联网连接的地方办公已经变得很普遍。VDI使得通过互联网访问成为更加简单以及更加通用的工作方式,但是互联网并不是个友好的地方。
使用加密保护用户凭据
首先,存在的一个风险就是监视网络的观察者能够看到你访问VDI环境的用户名以及密码。如果能够监测到实际的数据,为什么要猜测用户以及密码呢?为了保护在网络比如互联网中传输的用户凭据,一定要确保用户名以及密码被加密了。请记住并不是所有的员工都很友好而且并不是网络中的所有人都是你的员工。将所有网络看作是充满敌意的,即使是在办公室中的网络。
最为常见的加密方式是基于用户证书的SSL连接。SSL中最为关键的因素之一是信任:你相信证书的发行方吗?建立信任并只允许用户接受可信的证书是使用SSL确保密码安全的一个关键因素。
如果不对非常可信的源使用SSL认证,那么你必须允许用户接受不受信的证书。即使是在内部网络,这也不是个好主意。务必部署受信的证书并强制只能使用经过加密的受信证书以避免证书以及数据被窃听。
安全密码
需要了解的一个关键问题就是密码不是非常安全。密码列表的统计分析表明用户的很大一部分密码是非常简单的,也就是字母以及数字的组合。尽管通过公司的网站计算出可能的用户名并不需要做很多工作,但用户名可能要比密码更难猜测。破解能够通过互联网使用用户名以及密码进行访问的任一应用程序不会花太多的时间,即使应用只能够通过SSL访问。
对密码有益的补充是第二个加密因素,或者是不稳定密码或者是物理标记。不稳定密码的生命周期很短。常规密码可能一个月才会过期,不稳定密码可能每分钟都会发生改变。
其中一个例子就是RSA密钥卡,每分钟生成一个新的六位数字。用户必须输入用户名以及每分钟新生成的密码才能登录系统。黑客通过网络或者偷看获得的不稳定密码,必须在一分钟以内使用。即使是这样,只有在用户使用密码之前黑客才能使用该密码,因为正确的密码只能够被接受一次。
物理标记是类似智能卡的设备,必须在VDI客户端设备上将智能卡插入到读卡器中才能进行访问。标记通常和用户名、密码或者PIN一起使用,因此只有标记是不允许访问的。这意味着只偷走标记没有任何用处。
另一个双因素认证机制是使用电话号码作为第二个认证因素,或者向用户发送一个不稳定密码或者在登录时让用户拨打特定的号码。目标是组合用户名、密码或者PIN,电话,RSA标记,智能卡才能够允许登录系统。
VDI并非天生就是安全的,这和你如何实现该技术有关。像样的VDI产品将提供端到端加密而且允许使用双因素认证。无论用户在哪儿登录你都应该启用加密,无论是否存在明显的攻击风险,例如是否允许通过互联网登录,你都应该部署双因素认证。大多数VDI产品能够基于用户的连接方式选择不同的身份认证机制。