無論在現實或數位環境中,為了確認個人真實身分,通常會對嘗試存取機敏內容的用戶進行身分驗證程序。在現實環境,最常見方式是查閱身分證明文件;在數位環境,則經常要求使用者輸入帳號及密碼。然而,僅有證件或帳號密碼作為驗證手段時,若這些資料不慎遺失或遭有心人士盜取,會讓使用者及其企業組織承受重大損失。近年來,國內外發生多起重大資安攻擊案件,皆因企業組織內部資訊系統之重要帳號密碼遭盜用而非法取得權限。有鑑於此,SWIFT 等國際組織積極推動「多因子驗證」(Multi-Factor Authentication, MFA) 機制,以強化帳號密碼管理,降低系統相關帳號密碼遭假冒或竊用之風險,提高系統整體安全性。本篇文章中將介紹Citrix NetScaler常用之身分驗證技術,讓使用虛擬桌面的用戶能得到更進一步的保護。
(一)Native OTP
Citrix NetScaler 支持一次性密碼 (One Time Password,OTP),無需使用第三方伺服器。一次性密碼是用於進行身份驗證以保護內部資源的高度安全選項,因為生成的數字或通行碼是隨機的,每三十秒變換一次,且須通過註冊的裝置才會生成此一次性密碼。
下圖展示了註冊新設備以接收OTP的裝置註冊流程
當使用者完成註冊後,可以透過Citrix Gateway頁面,輸入帳號、密碼及裝置上的一次性密碼進行登入。
下圖展示終端用戶使用本機 OTP 功能進行登入的流程。
透過帳號密碼+OTP的雙因子驗證,讓後端的使用者資源得到更安全的保障。
(二) SAML Authentication
SAML (Security Assertion Markup Language) 是一種基於 XML 的身份驗證機制,提供單點登錄功能,由 OASIS 安全服務技術委員會定義。
下圖展示當NetScaler作為SP(Service Provider),OKTA做為IdP(identity provider)時的驗證流程:
具體驗證流程如下:
1. World Wide 使用者訪問 Citrix 安全連線接口
2~3. Citrix 提供使用者導向至OKTA的多重驗證網址
4~6.使用者輸入帳號密碼後,OTKA回傳一個信任憑證
7.使用者帶著信任憑據往後端訪問到資源顯示頁面
透過 Citrix FAS 系統,使用者登入虛擬桌面時不須再重複輸入帳號密碼。
另外,在此篇文章中也介紹了NetScaler作為SP(Service Provider),Azure AD做為IdP(identity provider)時的驗證流程。
(三) re-Captcha
reCAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) 是一種用來判斷使用者是否為機器人的身份驗證機制,藉由圖片或文字辨識根絕一些垃圾留言、訊息,甚至是機器人對於網站的惡意操作、使用腳本大量嘗試密碼等。
使用者須透過google註冊相對應的金鑰並綁定至NetScaler,便可以在入口網站內進行登入時多一個re-Captcha的欄位
下圖展示通過圖片驗證後進行登入的流程,當用戶選擇問題對應的答案時才能進行登入,用來防止機器人對網站的惡意行為。
目前駭客的攻擊手法日新月異,單僅僅帳號及密碼是遠遠不夠的。透過Citrix NetScaler提供上述身份驗證機制,可以依使用者的情境與需求給予相對應的解決方案,進而杜絕惡意行為,提高內部資源的安全。
Comments