安全な認証方式

Zabbix 構築時に、インターネット経由でログインする構成を想定しております。しかしながらパスワードクラッキングされる恐れがあることから、本構成の社内で承認が下りません。Zabbix 環境で推奨されるセキュアな認証システムがあればご教授お願いできますでしょうか。
最近では2段階認証などが浸透しつつあると思われますが、Zabbix 環境でも可能なのでしょうか?

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー fripper の写真

構築前・計画段階とのことですが‥
質問の際には、
利用(予定)しているZabbixのバージョン x.y.z(3.0.1等)
OS・DBの種類やバージョン等、分かる範囲で記載をお願いします
バージョン毎や、構築環境によって回答内容が変わることがあるため、お願いします

zabbixのWebUIへログインするユーザの認証方式は、
以下のページに解説があるとおり、
  https://www.zabbix.com/documentation/3.0/manual/web_interface/frontend_sections/administration/authentication
・ZabbixのDB内のユーザ名・パスワード情報による認証
・LDAP認証
・HTTP認証
となっています
LDAP/HTTP認証を用いる場合には、そちらに登録されたユーザ名と同じ名前のユーザを
ZabbixDB側にも登録し、権限等の管理を行います

セキュアな認証システム‥というのが、どの程度のものを想定されているのかは微妙ですが‥
Zabbixのユーザ認証機能だけでは、残念ながら、アタックやクラッキング等に耐えうるような
設定項目はありません

1.アクセスできるべきユーザの端末へ独自のクライアント証明書を配布したうえで
  HTTPSを併用して、クライアント証明書認証を掛ける
   ※)ApacheやNginx等の設定で、クライアント証明書のチェックが通らない限り
     HTTPSの接続が確立しないようにする
2.そのうえで、Zabbix側でユーザ認証
  上記証明書認証が通らない限りはここまでたどり着けないので、
  パスワード全走査的なクラックは不能

あとは、Apache/Nginx もしくは、前段にアプリケーションファイヤーウォール等を構築して
「規定回数以上の接続失敗があったIPを一定時間弾く」等を構築‥でしょうか‥

いずれも、Zabbixの機能ではないため、Apache/Nginx等のHTTPD系で調査してみるのを
お薦めします

ユーザー TNK の写真

fripperさんに回答を書いて頂いたので少しだけ補足。

Zabbix自体には、Googleなどのアカウントで認証するOAuthのよう
な機能は用意されていません。2段階認証の機能もありません。
機能改善要望は挙がっていますが、まだ実装される計画にはなって
いないようです。

 ZBXNEXT-2979 OAUTH LOGIN
   https://support.zabbix.com/browse/ZBXNEXT-2979

インターネット経由でアクセスする際には、fripperさんが挙げら
れていた接続制限の他にも、

 ・デフォルトのアカウントは無効にする
 ・脆弱性が発見されたら速やかにバージョンアップして対応する

も考慮しておくことをお勧めします。