コンソールアクセスのセキュリティ~認証と認可
こんにちは、Yos235です。
ゼロトラストというキーワードが最近は流行っております。
すべて信頼しない=認証しましょう、ということから
2要素認証(Multi-Factor Authentication)を使おう、
という話が軽い感じに出てきます。
認証系の実装をしてみるとわかる=してみないとわからないのですが、
「見た目簡単、中身複雑」という(SIerにとって)最も割に合わないものと
私は思っています。
ちなみにHorizon Consoleの「認証」は、2段階認証になります。
>コンソールにアクセスできるかどうかは、その Horizon Cloud テナントに
>アクセスする権限を持つ My VMware アカウントの認証、
>および同じテナントに登録されている Active Directory ドメインを使用した
>認証を提供する認証フローに依存します。
故にMy VMwareと、ActiveDirectoryの2つのID/Pwd(2段階)です。
My VMwareアカウントが、どの程度信用できるかという点ですが、
VMware社からの第三者認証が行われている証明書みたいなもの、
Something you haveとの2要素認証に近い、というと言い過ぎですかね?
2要素をするといっても、その人を特定できるのではなくて、
本人であることが「より確実になる」ということであり、
どこまでいっても、悪意を持つユーザのやる気を削ぐことが
セキュリティなのではないかな、と思うのです。私としては。
セキュリティと言う観点はもう一つ、認証後に何ができるのかを
「認可」といいます。
ログインできたあとに役割に応じた操作しか許可しないという設定で、
ロールと言われることが多いです。
Horizon Consoleの「認可」について、ベストプラクティスの記載があります。
MyVMwareとActiveDirectoryの2つに対してロールを割り当てるようです
・・・が、ちょっと複雑なので、続きはそのうち。
今日は、この辺で。