数据中心“精细化”认证解决方案 – 作者:宁盾nington

一、方案背景

如今的企业网络比以往任何时候都更加动态化,企业网络中用户、设备和访问方式的数量都在不断增加。随着访问量的增加和设备的激增,出现安全漏洞和新的运营挑战的可能性也在增加。因此,维护网络安全、提升运营效率均需要新的解决方案,这些方案应能够有效地执行访问策略、审核网络使用情况、监控访问的合规性并全面了解整个网络中的活动状况。为了加固网络设备安全。企业需要

a)  解决网络及安全设备及业务系统的弱密码安全隐患问题;

b)  统一管理不同品牌、不同类型设备(包括 网络设备、防火墙、堡垒机、VPN及重要服务器等);

c)   统一管理特权账号,实现账号的增、删、改、查及角色/用户组的统一更改;

d)  规范对特权账号的可访问权限到可操作命令/命令集,审计特权账号的操作命令,追溯误操作及非法操作并落实到相关责任人。


二、方案介绍

 宁盾网络设备AAA属于一体化身份认证与访问控制(DKEY AM)的一部分,基于Tacacs+ 协议,自定义可操作命令/命令集以达到特权账号细分权限的目的。同时兼容异构网络设备(华为、H3C、Cisco、Aruba等),实现不同品牌、不同类型网络设备的统一认证、授权和审计。

同时,基于Radius协议,为不同厂商的VPN、虚拟化、网络设备、堡垒机、服务器(本地/云)、数据库、网络层及应用层身份认证提供一体化认证及账号加固解决方案。


1Tacacs+ 网络设备AAA

支持不同品牌交换机、路由器、防火墙等主流网络设备,帮助其实现网络设备AAA认证授权审计及动态密码安全加固。

a.  统一对接网络设备

异构兼容华为、H3CCiscoAruba等不同品牌交换机、路由器等网络设备,实现数据中心网络设备统一管理。

1.png

b.  自定义命令/命令集授权

自定义可操作命令/命令集,为不同厂商、不同设备级别的分配可操作命令/命令集权限;

统一账号源或账号身份,为不同用户角色/用户组分配可操作的设备及操作权限,实现数据中心自定义授权及统一监管。

c.  操作命令审计并落实到相关责任人

通过审计报表记录特权账号操作命令,追踪误操作及非法操作并落实到实名身份,帮助企业更快发现问题以缩短排障时间。

3.png

2、多场景双因素认证加固

宁盾令牌基于国密SM3算法,每隔30/60s变化一次,一次一密,每个密码用后立即失效,有效提升账号身份的唯一性及安全性。提供手机令牌、短信令牌、硬件令牌等多令牌形式,另与企业微信/钉钉对接集成H5令牌及“扫一扫”认证、推送认证、指纹识别等多认证方式,同时兼容RSA、Google第三方身份验证器,满足密码国产化的同时实现动态令牌平滑过渡。

 

a.网络设备双因素认证加固

将网络设备与宁盾一体化认证平台(DKEY AM)对接(前面如果已经实现对接,这里可以省略),通过为每个用户绑定宁盾唯一动态令牌,用户采用“静态密码+动态密码”的一步式认证,提升网络设备特权账号的账号安全。

4.png

b.防火墙双因素认证加固:

将迪普防火墙(客户场景)与宁盾一体化认证平台(DKEYAM)对接,通过为每个用户绑定宁盾唯一动态令牌,用户采用“账号+静态密码、“动态密码”两步认证,提升防火墙账号安全。

5.png

c.Windows服务器双因素账号加固

重要Windows服务器与宁盾一体化身份认证平台对接DKEY AM),在账号密码的基础上增加动态密码实现账号密码动态加固;

6.png

d.  Linux 服务器双因素账号加固

将重要Linux服务器与宁盾一体化身份认证平台对接DKEYAM),通过“静态密码+动态密码”一步认证实现账号密码动态加固。

7.png

三、项目价值:

通过在部署宁盾一体化身份管理之后,到达的最终效果如下:

a.统一管理所有网络设备及重要服务器运维人员使用独立帐号及动态密码唯一鉴权工具加强账号安全;

b.满足国家等保要求:所有账号实现静态密码+动态密码认证通过多重认证方式实现双重保护;

c.统一管理用户身份:统一对接AD、LDAP等不同账号源,统一管理账号的增、删、查及AD密码自服务修改等;

d.分级授权:对不同账号、不同级别的用户设定不同等级操作权限;

e.操作审计:有效控制账号泄漏及共享,是登录及操作可以实名追溯;

f.管理收益:提升日常运维管理工作水平,保证自身的信息资产咋一个合理而完整的框架下得到妥善保护,实现风险管理,在发生安全事件时,确保信息环境有序稳定地运作,将损失降到最低。

来源:freebuf.com 2020-03-24 00:11:15 by: 宁盾nington

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论