vSphere 7 –身份联合

改善组织安全状况的两种最大方法之一是通过良好的帐户管理和密码卫生。*俗话说,说起来容易做起来难。良好的帐户管理似乎很简单,但是在普通组织中有数百个系统和设备,很容易错过一个。至于密码,它们不再安全了。我们可以使密码变得复杂,将其与已泄露密码的数据库进行核对,并定期进行轮换。那会发生什么呢?我们把它们写下来。如果我们避免这种情况,密码仍然很容易受到击键记录器,恶意网站,照相机,恶意软件甚至其他人的“肩膀冲浪”并看着您键入的攻击。

多因素身份验证

身份验证通常用术语“因素”来描述。因素通常是三件事:你是谁,你知道什么,你有什么东西。例如,您知道密码。指纹就是您的身份。一次性密码令牌就是您拥有的东西。结合这些,您将获得多因素身份验证或MFA。将它们中的两个结合起来,您将获得两因素身份验证或2FA。

多因素身份验证(MFA)是帐户安全性的巨大飞跃。例如,使用MFA,即使坏演员知道您的密码,他们也不会知道您手机上显示的一次性代码。由于该代码每分钟更改一次,因此他们不太可能猜到它。指纹识别也一样—我当然希望一个坏演员没有手指!

多因素身份验证似乎是个好主意,对吗?即使它本身并不是一个好主意,但在大多数合规性框架中都已强制要求这样做。例如,PCI DSS 3.2在控件8.3中将其添加为要求,而NIST 800-53修订版4则将它列在IA控件集中,例如IA-2。尽管合规性框架通常允许“补偿性控制”(实现相同安全目标的替代方法),但这些方法可能会变得复杂。如果软件解决方案可以直接满足需求,那么这对每个人来说都是最简单的。vSphere的目标之一就是使其变得容易安全。

这就是vSphere 7具有身份联合身份验证的原因。通过Identity Federation,我们可以将vCenter Server附加到企业身份提供程序,例如Active Directory Federation Services(ADFS)。这意味着vCenter Server参与了相同的集中式公司流程,例如启动和终止。这也意味着用户可以使用与台式机和云相同的方法登录vCenter Server。这也包括MFA和2FA解决方案。

身份联盟如何工作

vSphere 7 –身份联合-VirtualVMW

一旦附加到身份提供者(在本例中为ADFS,请参见下面的更多内容),vSphere Client会将登录重定向到提供者的登录页面。用户或管理员使用其公司凭据登录,包括配置为系统一部分的任何多因素身份验证。通过身份验证后,身份提供商将使用授权它们的加密令牌将其重定向回vSphere Client。如果您曾经使用Google,Twitter或Facebook凭据登录到网站,这将非常熟悉。

标准协议

身份联盟使用标准协议OAUTH2和OIDC交换信息。即使采用标准,复杂性之一是所有身份验证系统都具有不同的通信“方案”。在VMworld 2019大会上,美国技术市场营销人员Mike Foley将其与打电话进行了比较,很好地总结了这一点。OAUTH2是电话系统,但我们仍然可以呼叫不讲我们语言的人。因此,vSphere 7最初支持ADFS,因为它代表了我们大部分客户拥有的,可以轻松使用的东西。随着我们向vSphere教授更多身份验证“语言”,将提供更多选择。

如果启用身份联合,它将代替vCenter Server中的传统Active Directory,集成Windows身份验证和LDAP / LDAPS身份验证方法。但是,它不能代替传统的vSphere Single Sign-on,后者仍可用于管理和故障排除访问。那些传统的登录方法现在仍然存在,尽管其中一些已被弃用(请查看发行说明)。

结论

vSphere Identity Federation将在安全性方面迈出一大步,减少合规性审核的工作量,减少组织中的流程重复,减少vSphere Admins的工作量,并为用户带来更好的体验。

发表评论

电子邮件地址不会被公开。 必填项已用*标注