云主机双因素认证解决方案

云主机双因素认证解决方案

一、面临挑战

由于云计算技术的兴起，越来越多企业已经搭建自己的公有云服务器，将数据托管于云服务商的数据中心。企业上云是时代发展的大势所趋。而公有云的公有性，导致云主机的安全问题也受到前所未有的考验。

企业对公有云数据的掌控力度减弱，一旦出现重要数据泄露、丢失或损坏将会对企业造成巨大危害。公有云服务商的数据安全服务和数据备份措施是为保证整个数据中心的数据安全而进行的，并没有针对某个企业或某些数据的特别举措。因此企业有必要加强自有云主机登录保护，为保障云数据安全设置第一道防线，通过双因素认证，防止密码共享、密码泄露现象，避免非法越权操作。

二、解决方案

1.云主机双因素认证解决方案概述

静态密码只能对云主机用户身份的真实性进行低级认证。宁盾双因素认证在企业云主机原有静态密码认证基础上增加第二重保护，通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。

宁盾一体化认证平台负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管云主机帐号的静态密码认证工作。通过在云主机配置第三方RADIUS认证，指向宁盾一体化认证平台（内置RADIUS SERVER）。用户接入云主机进行静态密码认证，认证通过之后获取动态密码（令牌产生/短信接收方式），从而进行动态密码验证，验证通过之后方可放行。

2.宁盾动态密码形式

短信令牌

基于短信发送动态密码的形式。在用户完成云主机静态密码认证之后，宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上，用户输入该短信密码并提交验证通过后才能完成登录认证。密码是一次性使用的，他人即使盗用了，也无法再次使用，从而能保证账号和信息的安全。

手机令牌

基于时间的动态密码，由手机APP生成。基于时间同步技术，宁盾令牌APP 每60秒随机生成一个独一无二的动态验证码，宁盾一体化认证平台能够验证这个变化的密码是否有效。

硬件令牌

基于时间的动态密码，由硬件生成。硬件令牌每60秒产生一个6位随机密码，使用寿命3年。需要为每个云主机用户分发一枚宁盾硬件令牌，用户登录时输入静态密码+硬件令牌上显示的动态密码，验证通过即可完成登录。

3.云主机双因素认证登录流程

下图为Linux操作系统的云主机双因素认证登录界面，SSH方式连接。

为单步认证方式，一并完成静态密码和动态密码的认证过程。

新建连接，在“Password”中先后输入静态密码、动态密码信息，点击“确定”提交认证，认证通过则成功登录。

下图为云主机静态密码登录认证界面。

三、方案价值

①账号双重保护：宁盾双因素认证在云主机原有账号密码认证基础之上增加一层动态密码认证，以此提升云主机用户接入认证安全，解决弱身份鉴别可能引发的内网信息泄漏隐患；

②多种认证方式：短信令牌、手机令牌、硬件令牌，三种动态密码形式各有优势，客户根据需求自由选择，也可以多种组合；

③与现有系统无缝集成：内置Radius认证模块，可与AD、LDAP等标准账号源结合，同时也支持与企业本地应用、私有云应用以及SAAS等的对接，提供云主机的双因素认证服务；

④品牌兼容性：支持几乎所有主流品牌云主机，包括AWS、阿里云、Microsoft Azure等；

⑤实名追溯：详尽的登录日志，发生安全事件时可定位到个人，做到用户认证可审计，满足了等保要求；

⑥体验优化：通过简化移动安全接入，优化用户体验，在为用户登录云主机提供安全认证的同时，提升了使用的便捷性，助力企业移动化转型。