一、方案背景
如今的企业网络比以往任何时候都更加动态化,企业网络中用户、设备和访问方式的数量都在不断增加。随着访问量的增加和设备的激增,出现安全漏洞和新的运营挑战的可能性也在增加。因此,维护网络安全、提升运营效率均需要新的解决方案,这些方案应能够有效地执行访问策略、审核网络使用情况、监控访问的合规性并全面了解整个网络中的活动状况。为了加固网络设备安全。企业需要:
a) 解决网络及安全设备及业务系统的弱密码安全隐患问题;
b) 统一管理不同品牌、不同类型设备(包括 网络设备、防火墙、堡垒机、VPN及重要服务器等);
c) 统一管理特权账号,实现账号的增、删、改、查及角色/用户组的统一更改;
d) 规范对特权账号的可访问权限到可操作命令/命令集,审计特权账号的操作命令,追溯误操作及非法操作并落实到相关责任人。
二、方案介绍
宁盾网络设备AAA属于一体化身份认证与访问控制(DKEY AM)的一部分,基于Tacacs+ 协议,自定义可操作命令/命令集以达到特权账号细分权限的目的。同时兼容异构网络设备(华为、H3C、Cisco、Aruba等),实现不同品牌、不同类型网络设备的统一认证、授权和审计。
同时,基于Radius协议,为不同厂商的VPN、虚拟化、网络设备、堡垒机、服务器(本地/云)、数据库、网络层及应用层身份认证提供一体化认证及账号加固解决方案。
支持不同品牌交换机、路由器、防火墙等主流网络设备,帮助其实现网络设备AAA认证授权审计及动态密码安全加固。
a. 统一对接网络设备
异构兼容华为、H3C、Cisco、Aruba等不同品牌交换机、路由器等网络设备,实现数据中心网络设备统一管理。
b. 自定义命令/命令集授权
自定义可操作命令/命令集,为不同厂商、不同设备级别的分配可操作命令/命令集权限;
统一账号源或账号身份,为不同用户角色/用户组分配可操作的设备及操作权限,实现数据中心自定义授权及统一监管。
c. 操作命令审计并落实到相关责任人
通过审计报表记录特权账号操作命令,追踪误操作及非法操作并落实到实名身份,帮助企业更快发现问题以缩短排障时间。
2、多场景双因素认证加固
宁盾令牌基于国密SM3算法,每隔30/60s变化一次,一次一密,每个密码用后立即失效,有效提升账号身份的唯一性及安全性。提供手机令牌、短信令牌、硬件令牌等多令牌形式,另与企业微信/钉钉对接集成H5令牌及“扫一扫”认证、推送认证、指纹识别等多认证方式,同时兼容RSA、Google第三方身份验证器,满足密码国产化的同时实现动态令牌平滑过渡。
a.网络设备双因素认证加固
将网络设备与宁盾一体化认证平台(DKEY AM)对接(前面如果已经实现对接,这里可以省略),通过为每个用户绑定宁盾唯一动态令牌,用户采用“静态密码+动态密码”的一步式认证,提升网络设备特权账号的账号安全。
b.防火墙双因素认证加固:
将迪普防火墙(客户场景)与宁盾一体化认证平台(DKEYAM)对接,通过为每个用户绑定宁盾唯一动态令牌,用户采用“账号+静态密码”、“动态密码”两步认证,提升防火墙账号安全。
c.Windows服务器双因素账号加固
将重要Windows服务器与宁盾一体化身份认证平台对接(DKEY AM),在账号密码的基础上增加动态密码实现账号密码动态加固;
d. Linux 服务器双因素账号加固
将重要Linux服务器与宁盾一体化身份认证平台对接(DKEYAM),通过“静态密码+动态密码”一步认证实现账号密码动态加固。
三、项目价值:
通过在部署宁盾一体化身份管理之后,到达的最终效果如下:
a.统一管理所有网络设备及重要服务器,运维人员使用独立帐号及动态密码唯一鉴权工具加强账号安全;
b.满足国家等保要求:所有账号实现静态密码+动态密码认证,通过多重认证方式实现双重保护;
c.统一管理用户身份:统一对接AD、LDAP等不同账号源,统一管理账号的增、删、查及AD密码自服务修改等;
d.分级授权:对不同账号、不同级别的用户设定不同等级操作权限;
e.操作审计:有效控制账号泄漏及共享,是登录及操作可以实名追溯;
f.管理收益:提升日常运维管理工作水平,保证自身的信息资产咋一个合理而完整的框架下得到妥善保护,实现风险管理,在发生安全事件时,确保信息环境有序稳定地运作,将损失降到最低。
来源:freebuf.com 2020-03-24 00:11:15 by: 宁盾nington
请登录后发表评论
注册