宁盾数据中心基础设施统一身份认证及访问控制管理 – 作者:宁盾nington

随着企业信息化进程的发展，企业网络不断更新和升级，网络基础设施复杂多样，各设备功能迥异或不同厂商之间兼容性不足，导致大型、异构网络环境难以实现统一运维和管控。在对企业网络基础设施的安全调查中，由于不安全的身份认证及混乱的授权、审计所导致的事故占企业内部安全风险的80%。企业数据中心现状分析：

a）大型异构网络基础设施共存，各厂商设备之间兼容性较差；

b）不同功能的设备之间账号身份存在差异，难以实现统一运维和审计；

c）弱密码、僵尸账号、账号共享增加企业网络安全风险；

d）身份越权、非授权访问现象给企业造成重大混乱和损失。

数据中心网络设备集中管理及统一身份认证及访问控制

数据中心动辄上千台设备，鉴于海量设备之间功能不同，兼容性不同。宁盾发现，基于身份的统一账号认证及访问控制不失为面向数据中心基础设施的有效管理方法及手段。

一、数据中心基础设施集中管理

面向不同应用场景，为 VPN、虚拟化、网络设备、服务器（云）、堡垒机、数据库、OWA、有线无线等设备分配不同设备组，帮助企业实现基础设施。

二、统一身份认证及访问控制

兼容AD、LDAP、POP3等多账号源，根据不同业务场景设置账号源、账号组、用户角色等访问策略，实现全场景统一身份认证；

三、全场景账号加固及统一认证安全凭据

在账号密码的基础上增加动态密码，形成账号密码动态加固。结合统一身份，提供统一身份认证凭据。 

宁盾动态密码每隔30/60s变幻一次，根据国家密码局杂凑算法随机生成，每个密码一旦使用立即失效，可防止字典轮询及暴力破解。

四、网络设备（TACACS＋）AAA 管理

由于大型异构网络设备兼容性较差，各厂商之间独立授权，无法实现统一管理。为防止企业内网络设备越权访问及非法登录问题，基于Tacas＋协议，为大型数据中心异构兼容设备提供AAA （Authentication：认证、Authorization：授权、Accounting：审计）管理解决方案。

1、 异构交换、路由统一认证授权和审计

a）异构设备集中管理：兼容cisco、华为、H3C、锐捷、博达、Aruba等不同路由交换设备，基于业务导入不同业务组实现统一管理。

b）统一身份管理：统一账号源，基于业务分配用户组、角色权限，实现多设备一体化身份认证、账号加固、授权和审计。

2、Tacas＋细粒度授权等级

基于角色及业务场景进行细粒度授权，明确用户（用户组）执行的命令或命令集；如下图：如下图：三级授权逐渐深入细化：

 a）基于用户源、用户组、用户角色完成可访问设备的用户的一级授权；

b）根据用户可操作的设备、设备级别进行二级授权，cisco支持（1～15级）、H3C（1～15级）、华为（1～15级）、 Aruba（命令级权限）；

c） 三级授权用户在某设备（设备组）级别上可做操作的命令。（支持自定义命令集）

3、详细的报表审计日志

审计追溯用户名、时间、终端、设备、命令及结果，方便运维人员及时查看并排除操作故障。

方案价值

a）集中管理数据中心基础网络设备，实现移动化办公、云及数据中心的统一身份认证及访问控制；

b）通过双因素认证加固网络设备账号安全，杜绝弱账号、账号密码共享、僵尸账号等引起的假冒身份登录；

c）异构交换路由细粒度授权及审计管理：防止身份越权访问、跨部门访问，审计操作命令，落实企业数据中心管理制度；

d）法律合规：满足《等级保护条例》关于数据中心账号安全及基础设施的集中授权审计要求。

来源：freebuf.com 2018-11-20 11:03:30 by: 宁盾nington