宁盾（TACACS+）网络设备AAA – 作者:宁盾nington

管理上，大型数据中心覆盖像服务器、防火墙、路由器、交换机、负载均衡等各类设备及主机，数量多，品牌杂且种类丰富，虽然部分厂商已经实现了兼容，但多数情况下还是需异构单独处理，无法实现集中认证、授权及审计。

安全上，网络上多次爆出设备、服务器密码泄漏的情况，在泄漏的账号统计中，“root”、“admin”等弱账号密码始终排在前三；另外近期的内网犯罪案例也多以企业内部IT权限过大而引起的删库跑路、非法控制服务器作案等情况，因此需要对数据中心重要基础设施进行精细化管理。

法规上，三级等保安全认证要求，为加强身份鉴别的可信度，应对登录的用户进行身份标识和鉴别，尤其应采用口令、密码技术、生物识别等两种或两种以上组合的鉴别技术对用户进行身份鉴别，因此双因子认证成为企业需要满足的合规需求。

一、产品介绍

 宁盾（TACACS+）网络设备AAA管理是集认证、授权、审计于一体的网络设备综合运维管理平台。面向大型异构数据中心提供双因素认证、TACACS+自定义命令/命令集授权、以及操作行为审计等功能。在报表审计、命令行授权、安全认证方面，宁盾（TACACS+）网络设备AAA是堡垒机的补充。

1、数据中心基础设施统一管理

 异构兼容数据中心网络设备（交换、路由、堡垒机）、安全设备（VPN、防火墙、负载均衡等）及服务器、数据库等应用场景的统一认证需求。统一对接设备、同步账号源，实现数据中心基础设施的集中管理。

 2、多场景基础设施安全认证

宁盾双因素动态口令基于国密SM3算法，每隔30/60s变化一次。每个令牌有且仅有一次机会，一旦使用立即失效，以防止口令被重复利用。通过在数据中心部署双因子认证系统，在账号密码的基础上增加动态密码提升身份鉴别的可信度，满足三级等保安全认证需求。

3、TACACS+ 细粒度授权

面向网络设备，异构兼容华为、H3C、Cisco、Aruba、Hillstone等不同品牌网络设备，除了设备等级授权，还可根据自定义用户可操作命令/命令集，限制不同级别员工的可操作命令，从而避免越权操作行为。

 4、用户实名操作审计

a)  自定义限制用户可登录次数，并将问题账号告警至用户及管理员；

b)  审计用户操作命令，追溯非法或违规操作并落实到责任人；

c)   敏感命令告警，限制用户非法操作并对非法操作进行告警。

 二、产品组成

宁盾身份管理软件平台（DKEY AM）一套；双因子认证令牌按需发放n套；

 三、产品价值

a)  借助双因子认证加强运维人员身份鉴别难度，满足三级等保双因子身份鉴别需求；

b)  根据管理员角色，帮助明确用户角色的责任和权限;

c)   记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容;

d)  加强特权账号的账号安全保护，限制普通账号的可操作命令，防止越权访问；

e)   对非法登录进行告警，预判非法登录。

来源：freebuf.com 2020-03-24 00:54:15 by: 宁盾nington