管理上,大型数据中心覆盖像服务器、防火墙、路由器、交换机、负载均衡等各类设备及主机,数量多,品牌杂且种类丰富,虽然部分厂商已经实现了兼容,但多数情况下还是需异构单独处理,无法实现集中认证、授权及审计。
安全上,网络上多次爆出设备、服务器密码泄漏的情况,在泄漏的账号统计中,“root”、“admin”等弱账号密码始终排在前三;另外近期的内网犯罪案例也多以企业内部IT权限过大而引起的删库跑路、非法控制服务器作案等情况,因此需要对数据中心重要基础设施进行精细化管理。
法规上,三级等保安全认证要求,为加强身份鉴别的可信度,应对登录的用户进行身份标识和鉴别,尤其应采用口令、密码技术、生物识别等两种或两种以上组合的鉴别技术对用户进行身份鉴别,因此双因子认证成为企业需要满足的合规需求。
一、产品介绍
宁盾(TACACS+)网络设备AAA管理是集认证、授权、审计于一体的网络设备综合运维管理平台。面向大型异构数据中心提供双因素认证、TACACS+自定义命令/命令集授权、以及操作行为审计等功能。在报表审计、命令行授权、安全认证方面,宁盾(TACACS+)网络设备AAA是堡垒机的补充。
1、数据中心基础设施统一管理
异构兼容数据中心网络设备(交换、路由、堡垒机)、安全设备(VPN、防火墙、负载均衡等)及服务器、数据库等应用场景的统一认证需求。统一对接设备、同步账号源,实现数据中心基础设施的集中管理。
2、多场景基础设施安全认证
宁盾双因素动态口令基于国密SM3算法,每隔30/60s变化一次。每个令牌有且仅有一次机会,一旦使用立即失效,以防止口令被重复利用。通过在数据中心部署双因子认证系统,在账号密码的基础上增加动态密码提升身份鉴别的可信度,满足三级等保安全认证需求。
3、TACACS+ 细粒度授权
面向网络设备,异构兼容华为、H3C、Cisco、Aruba、Hillstone等不同品牌网络设备,除了设备等级授权,还可根据自定义用户可操作命令/命令集,限制不同级别员工的可操作命令,从而避免越权操作行为。
4、用户实名操作审计
a) 自定义限制用户可登录次数,并将问题账号告警至用户及管理员;
b) 审计用户操作命令,追溯非法或违规操作并落实到责任人;
c) 敏感命令告警,限制用户非法操作并对非法操作进行告警。
二、产品组成
宁盾身份管理软件平台(DKEY AM)一套;双因子认证令牌按需发放n套;
三、产品价值
a) 借助双因子认证加强运维人员身份鉴别难度,满足三级等保双因子身份鉴别需求;
b) 根据管理员角色,帮助明确用户角色的责任和权限;
c) 记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容;
d) 加强特权账号的账号安全保护,限制普通账号的可操作命令,防止越权访问;
e) 对非法登录进行告警,预判非法登录。
来源:freebuf.com 2020-03-24 00:54:15 by: 宁盾nington
请登录后发表评论
注册