双因子认证

对于国内的国情而言，时不时会听到这种消息：某国际酒店泄露客人信息被罚1.6亿，某员工怒删公司9TB数据被判7年有期徒刑，还有一个国内某SaaS公司员工恶意删除生产数据导致公司股价暴跌逾20亿港元，究其原因还是国内特有的工作习惯，流程化、标准化尚不成熟，动不动开发、运维都给root权限。 还有从相关法律法规的政策看，早在2019年12月 1日，网络安全等级保护制度（ 等保2.0）正式实施，这也意味着等保不仅是企业“安全预防做得是否到位”的内在要求和衡量指标，还成为了企业在法律层面上的外部要求，而运维审计系统俗称的 堡垒机，作为过等保的必要环节，也是防范企业内部数据遭偷窥和篡改的有效手段。 对于IT公司而言，数据就是公司的核心资产，公司别的没啥，就是数据值钱，因此上一个 堡垒机 很有必有，当然现在也都用上了云主机，能适配云原生的堡垒机首推。而一个好的能适配云原生的“ 云堡垒机”，则需要具备以下四个核心能力： 一、多云、混合云统一纳管 既可管理各公有云平台的云资源，也支持管理私有云资源，用户只需要提供公有云/私有云平台API凭证（如Access Key），即可把用户在公有云/私有云上的所有云资源一键导入到云管平台中，实现对多云环境的无缝对接和统一管理，而无需去关注各平台之间的技术差异，达成对异构云平台的多云/混合式纳管能力。 二、身份鉴别 支持多种 双因子认证 方式来验证登录，登录方式可通过用户名、密码，同时结合手机短信验证码、OTP动态口令等。并具备防暴力破解功能，连续多次失败登录将自动锁定账户或IP，可配置解锁时长、到期自动解锁，也可手动解锁。支持通过用户安全策略定义用户的IP地址和 MAC地址黑白名单，禁止非法地址访问。支持通过用户安全策略定义用户的允许登录时段，其它时段将禁止用户登录。用户登录后，连接10分钟无操作自动退出。支持同一个用户只能同时允许在一个设备上登录系统使用，如果检测到在其他系统登录，则将原登录设备剔除。 三、授权控制 采用基于角色的访问控制模型（Role-Based Access Control）来实现权限控制，具体来说，是将授权模型划分为功能授权和资源授权两个维度，而这两种授权都是针对角色的，角色是功能权限和资源权限的载体。当团队中的成员被添加到某一角色，该成员便自动拥有了该角色所被授予的各项权限。每一个成员要想访问某个云资源，都需要具有相应的功能权限和资源权限。 以最小权限原则将设备授权予用户，确保“正确的人”以“正确的操作”运维“正确的数据资源”。 四、账号管理 一般内置 “团队拥有者”、“管理员”、“业务管理员”、“安全审计员”和“操作员”等几个基本角色，以及代表团队全部成员的“所有成员”这一特别角色，内置角色不可删除。 此外，还可实现多来源用户的接入及多重身份认证机制（如：微信/企业微信/钉钉等），使用户账号与外部IT系统账号体系进行关联，同时杜绝非法访问、保障数据安全。 五、安全审计 对运维工作进行审计记录，是确保所有的运维操作可回溯、可追踪的有效手段。最好能从旁路对运维操作进行日志记录，不影响运维操作，且其审计日志记录不可删除、不可篡改，使得运维操作可回溯、可追踪。 不仅仅记录审计日志，其对运维全生命周期进行了管控与审计： 事前授权：以最小权限原则将设备授权予用户，确保“正确的人”以“正确的操作”运维“正确的设备”； 事中监管：管理员可以监控运维人员的整个运维操作，可以控制运维过程，对运维操作及指令设置申请审批策略，阻止并避免危险、违规操作，确保运维安全； 事后审计：对记录的审计日志提供录像查看、指令检索、操作定位能力，对运维操作进行高效快捷的回溯及追踪。 行云管家 是国内唯一一家以 SaaS 形态提供的 云计算管理平台，入选了“第十届财经峰会”并荣获2021科技创新引领奖，行云管家 云管平台 内置的云堡垒机可为企业提供 “事前授权、事中监管、事后审计”的运维安全合规审计能力，有效解决IT运维过程中安全、可控与合规的问题，目前已成功服务十万家企业级用户。 【最新资讯】： 行云管家荣获第十届中国财经峰会“2021科技创新引领奖” 第十届中国财经峰会已于2021年7月27日至28日在上海成功举行。作为业界领先的 多云管理平台， 行云管家 荣获“2021科技创新引领奖”，被推选成为新时代背景下经济增长与社会进步的重要商业力量。 免费在线试用： https://www.cloudbility.com/baolei.html?refid=guanwang-tlj-wenzhang

为了切实保障用户身份安全，避免出现用户密码泄露这种安全事故的发生， 行云管家堡垒机 提供了完善的用户认证安全策略。下面我们就一起来看看吧！ 第一种策略：用户密码强度策略 管理员可灵活定义用户密码强度、历史密码重复次数、有效期，防止出现弱密码、历史密码等安全风险。 第二种策略：双因子认证 为了确保用户账号安全，除高强度的密码约束外，还提供以下方式的双因子二次身份认证：USB Key、手机短信验证码、微信/企业微信/钉钉验证码等第三方应用、手机动态令牌、Radius验证。 双因子认证 除了可应用于登录门户外，还可以用于访问主机、重启主机等敏感操作身份确认，以防出现用户密码泄露这种重大安全事件。 第三种策略：防暴力破解 通过开启用户登录防暴力破解机制，可避免用户登录信息被撞库的风险。防范方式包括白名单和黑名单两种机制，在黑名单机制下，可灵活定义用户密码连续错误次数阈值、锁定账号时长、加入黑名单时长等配置参数。 第四种策略：异地登录提醒 在互联网部署模型下，通过开启用户异地登录提醒，当发现用户登录地址和日常行为不一致时，会及时通知用户，降低账号被盗风险。 【内容扩展】：行云管家堡垒机核心功能 1、IT资产：支持对主机、网络存储设备、 公有云 以及私有云的混合式管理； 2、管理协议：支持RDP、SSH、VNC、Telnet、FTP/SFTP等多种 管理协议; 3、运维审计：所有操作均可云端录像，全程审计； 4、移动运维：支持手机、平板等智能终端运维； 5、运维策略：对不同角色制定不同的运维策略； 6、密码策略:对主机进行批量改密和下发密钥; 7、数据库运维：持对MySQL、Oracle、SQLServer等主流 数据库 运维审计； 8、 自动化运维：对多台主机进行批量操作。 现在注册成为 行云管家 用户，即可免费试用 堡垒机 14天！ 在线注册： https://www.cloudbility.com/baolei.html?refid=guanwang-tlj-wenzhang

我们大家都知道密码是最常见的认证方法，但是非常不安全，且容易泄露和冒充。因此越来越多的地方要求启动双因子认证。那具体什么是 双因子认证 呢？双因子认证是什么意思？双因子认证作用是什么？ 双因子认证是什么意思？有什么作用？ 双因子认证是指结合密码以及实物（信用卡、SMS手机、令牌或指纹等生物标志）两种条件对用户进行认证的方法。采取双因子认证方式主要作用就是，确保用户账号安全，保障企业数据安全。 常见双因子认证方式 1、人脸识别 2、短信验证 3、指纹解锁 4、身份证认证 5、第三方应用验证 6、USB Key 7、电子邮件 8、一次性密码 9、语音识别 …… 【内容拓展】：堡垒机有双因子认证功能吗？ 行云管家堡垒机 有双因子认证功能。其包含如下双因子认证方式： 1、USB Key； 2、手机短信验证码； 3、微信/企业微信/钉钉验证码等第三方应用； 4、手机动态令牌； 5、Radius验证。 温馨提示：现在注册成为 行云管家 用户，即可免费试用 堡垒机 14天！在线注册： https://www.cloudbility.com/baolei.html?refid=guanwang-tlj-wenzhang

一、 什么是 双因子认证 双因子认证，也称为双因素认证，是指使用两种独立不相干的证据来证明当前用户身份。通常而言，我们登录一个IT系统的首选认证方式是用户名和密码，但显然，单靠用户名和密码是不够的，我们还希望同时验证用户另外一种独立不相干的证据，当这两种都匹配时，我们才认为用户的身份验证成功，这就是双因子认证的典型用户场景。 二、 双因子认证在行云管家中的应用场景 场景一：当用户登录行云管家门户时，可以设置强制用户每次登录都要进行双因子认证，也可以让系统默认在某些敏感操作时刻才进行双因子认证（如用户异地登录时）； 场景二：当用户在设置主机运维策略时，针对主机的一些敏感操作，一旦某个敏感操作触发了双因子认证且用户成功认证后，会在后续一定时间内（可配置，默认30分钟）不再触发双因子认证以避免影响用户操作体验。 三、 双因子认证在行云管家中的三种认证方式 行云管家支持以下三种双因子认证方式，三种方式可任选其一或多种并存。 方式一：手机短信验证码 手机短信认证方式是最容易理解，前提是用户需要在行云管家门户中绑定自己的手机号。一旦触发双因子认证，行云管家会向用户的手机推送一条验证码，用户需要在5分钟之内在行云管家门户中输入正确的验证码，才能够完成认证。 使用手机短信验证码的前提是需要在行云管家中开启短信网关。 方式二：OTP动态口令 OTP原意是指动态口令（One-Time Password），在行云管家中被特指为一种基于时间同步的动态口令生成算法，一旦开启基于OTP的双因子认证，用户需要在行云管家的个人资料中激活OTP动态令牌。 方式三：第三方应用（微信、钉钉、企业微信） 行云管家支持的第三方应用最主要有：微信公众号、钉钉、企业微信等。 一旦触发双因子认证，行云管家会向用户的手机应用推送一条验证码，用户需要在5分钟之内在行云管家门户中输入正确的验证码才能够完成认证。 使用第三方应用验证码的前提是需要在行云管家管理控制台中配置第三方应用，用户在行云管家门户的个人资料中绑定第三方应用。 四、三种双因子认证方式的对比： 手机短信验证码、OTP动态口令、第三方应用验证码三种双因子认证方式在配置复杂度和使用成本上的对比如下图所示： 通过行云管家双因子认证保证使用者安全访问IT资源，即便出现他人盗号、用户密码泄露等重大安全事件，非法访问者仍然“无计可施”，有效避免了由此给公司造成的不必要损失，保证了企业的数据安全。 直接体验： yun.cloudbility.com

在日常使用堡垒机进行IT运维时，用户使用账户密码登录堡垒机后，即可对其具备权限的IT资源进行相应的操作或访问。而用户的堡垒机账户密码一旦被泄露，意味着无关人员可随意访问具备权限的IT资源，企业数据安全无法保障，后果将不堪设想。 那么，我们怎样做到即使密码泄露了也能保证数据安全呢？双因子认证显然是一种行之有效的手段。双因子验证是一种安全验证过程，被用以控制敏感系统和数据的访问。在这一验证过程中，需要用户提供两种不同的认证因素来证明自己的身份，从而起到更好地保护企业数据安全。 小编在使用行云管家进行IT运维的过程中，发现行云管家就具备双因子认证功能，其对用户登录行为、关键设备运维（如：登录申请、执行敏感指令等）进行双因子认证，确认当前运维人员身份，以实现安全运维的需要。 行云管家支持了多种认证方式，可供用户按自身实际情况自由选择。包括： 1、微信认证：支持绑定微信获取验证码来进行双因子认证； 2、短信认证：支持绑定手机号获取验证码来进行双因子认证； 3、动态令牌：支持绑定手机OTP动态令牌来进行双因子认证。 在面对堡垒机的二次认证这一道屏障，即便出现他人盗号、用户密码泄露等重大安全事件，非法访问者仍然“无计可施”，这样即可有效避免由此给公司造成的不必要损失，保证了企业的数据安全。 演示视频： 行云管家双因子认证功能视频 快速体验： 行云管家在线体验