Das Bundesamt für Sicherheit in der Informationstechnik hat in seinen IT-Grundschutzkatalogen diverse Empfehlungen zur Multi-Faktor-Authentifizierung für Cloudanwendungen herausgegeben.
Für im Auftrag unserer Kunden betriebene Systeme, auf die per SSH zugegriffen kann, gelten dabei folgende Festlegungen:
Die Systeme sind bereits standardmäßig mit mehreren Faktoren zur Authentifizierung ausgerüstet. Laut anerkannten Regeln der Technik sind etwas, das man besitzt (IP-Adresse des Standortes und SSH-Key) sowie etwas was man weiß (Passwort des SSH Keys und Passwort des Accounts) in Kombination als Multi-Faktor-Authentifizierung für Cloudanwendungen ausreichend. Zusätzlich kann der Zugriff per SSH so konfiguriert werden, dass eine Anmeldung nur in Kombination von IP-Adresse, SSH-Key und zusätzlichem Accountpasswort möglich ist.
Ergänzend dazu kann im Rahmen einzelner Projekte der Zugriff per SSH und die Ausführung privilegierter Kommandos (sudo) zusätzlich auch per TOTP via E-Mail, SMS oder App verifiziert werden.
Zur Verdeutlichung der einzelnen Faktoren und deren Bedeutung soll diese Übersicht dienen:
Authentisierung
Behauptung der Identität zur Anmeldung am System, z.Bsp. mittels Benutzername und SSH-Key
Authentifizierung
Überprüfung der Identitätsbehauptung, auch durch mehrere Faktoren (IP-Adresse, Passwort, SSH-Key, OTP)
Autorisierung
Erteilung bestimmter Rechte nach erfolgreicher Autorisierung.
