管理上,大型数据中心覆盖像服务器、防火墙、路由器、交换机、负载均衡等各类设备及主机,数量多,品牌杂且种类丰富,虽然部分厂商已经实现了兼容,但多数情况下还是需异构单独处理,无法实现集中认证、授权及审计。
安全上,网络上多次爆出设备、服务器密码泄漏的情况,在泄漏的账号统计中,“root”、“admin”等弱账号密码始终排在前三;另外近期的内网犯罪案例也多以企业内部IT权限过大而引起的删库跑路、非法控制服务器作案等情况,企业需要对数据中心重要基础设施进行精细化管理。
法规上,三级等保安全认证要求:为加强身份鉴别的可信度,应对登录的用户进行身份标识和鉴别,尤其应采用口令、密码技术、生物识别等两种或两种以上组合的鉴别技术对用户进行身份鉴别,因此双因子认证成为企业需要满足的合规需求。
宁盾网络设备AAA管理是集认证、授权、审计于一体的网络设备综合运维管理平台。面向大型异构数据中心提供双因素认证、TACACS+自定义命令/命令集授权、以及操作行为审计等功能。配合双因素认证,满足三级等保合规需求。
1、数据中心基础设施统一管理
异构兼容数据中心网络设备(交换、路由、堡垒机)、安全设备(VPN、防火墙、负载均衡等)及服务器、数据库等应用场景的统一认证需求。统一对接设备、同步账号源,实现数据中心基础设施的集中管理。
2、多场景基础设施安全认证
宁盾双因素动态口令基于国密SM3算法,每隔30/60s变化一次。每个令牌有且仅有一次机会,一旦使用立即失效,以防止口令被重复利用。通过在数据中心部署双因子认证系统,在账号密码的基础上增加动态密码提升身份鉴别的可信度,满足三级等保安全认证需求。
3、TACACS+细粒度授权
面向网络设备,异构兼容华为、H3C、Cisco、Aruba、Hillstone等不同品牌网络设备,除了设备等级授权,还可根据自定义用户可操作命令/命令集,限制不同级别员工的可操作命令,从而避免越权操作行为。
4、用户实名操作审计
a) 自定义限制用户可登录次数,并将问题账号告警至用户及管理员;
b) 审计用户操作命令,追溯非法或违规操作并落实到责任人;
c) 敏感命令告警,限制用户非法操作并对非法操作进行告警。
5、应用价值
a、解决了数据中心异构网络设备之间统一管理、TACACS+细粒度命令行授权、操作命令审计、安全认证的问题;
b、解决了数据中心一个设备一个账号而多个人登录难以审计的问题,通过对一个账号绑定多个令牌的方式,根据令牌序列号审计谁在什么时间登录了哪个设备的事;
c、重要服务器、数据库安全认证,通过采用一个账号多个令牌授权的方式,降低内部员工删库跑路等行为。
来源:freebuf.com 2020-04-26 10:01:03 by: 宁盾nington
请登录后发表评论
注册