最佳实践:某银行数据中心网络AAA管理+双因素认证一体化案例 – 作者:宁盾nington

客户需求

该银行需要在其采用静态密码验证的网络及安全设备、VPN、堡垒机等业务系统,解决安全隐患及帐号共享问题,同时存在网络设备不可细粒度授权用户、变更操作的不可追溯性的困扰。基于现状,增强帐号的安全性迫在眉睫。希望通过部署网络AAA认证服务器,实现网络设备管理用户的统一身份认证,对其提出的认证请求、授权请求、审计请求做出响应。期望实现如下目标:

增加密码安全—-加强网络设备密码强度,提供网络设备登录安全;

满足国家等保要求—所有账号实现静态密码+动态密码通过RADIUS认证协议实现双因素认证登录保护;

分级授权—对不同账号、不同级别的用户设定不通的操作权限;

操作审计—有效控制账号泄漏及共享,使登录及操作可以实名追溯;

管理收益-–提升日常运维管理工作水平,保证自身的信息资产在一个合理而完整的框架下得到妥善保护,实现风险管理,在发生安全事件时,确保信息环境有序稳定地运作,将损失降到最低。

方案概述

1、 Windows服务器动态密码登录加固方案:

宁盾网络设备AAA管理服务器(以下简称DKEY AM)借助宁盾自研的认证插件,可以保护Windows服务器的本地登录、远程桌面登录的双因素认证。 

Windows服务器动态密码登录加固方案.jpg 

2、 Linux服务器动态密码登录加固方案:

宁盾DKEY AM可以保护 Linux、Unix(AIX、HP-UNIX、Saloris)、BSD 等系统(统称类 Unix 系统)的系统本地登录、SSH 远程登录等支持 PAM 的场景,该方案可即插即用,并能够无缝兼容原有证书体系,可支持跳板机和直接对。

Linux服务器动态密码登录加固方案.jpg 

3、 网络设备WEB页面登录的动态密码登录加固方案:

通过网络设备自带的radius认证接口,实现此类设备WEB页面登录的动态密码登录加固。

下面以迪普防火墙的用户登录为例,在 Password 输入静态密码+动态密码组合。

网络设备WEB页面登录的动态密码登录加固方案.jpg 

4、 网络设备AAA认证及动态密码加固方案:

支持不同品牌交换机、路由器、防火墙等主流网络设备,帮助其实现网络设备账号统一AAA认证授权审计、动态密码安全加固。

网络设备AAA认证授权审计报表.jpg网络设备AAA认证及动态密码加固方案.jpg   

网络拓扑

宁盾AAA管理网络拓扑.jpg 

 宁盾网络设备AAA管理逻辑拓扑.jpg

项目成效

通过部署宁盾一体化身份管理之后,到达的最终效果如下:

 所有网络设备、重要服务器,每个操作和运维人员都使用独立的帐号,并且所有设备都使用同一个帐号; 

 提升服务器访问、堡垒机、安全设备WEB登录安全性,实现对其访问的认证集中审计;

 实现对网络设备细粒度的认证、授权、审计;

 减少服务器密码管理成本;

 对原有的固定密码增加动态密码,使帐号得到双重保护。

项目中主要产品

宁盾DKEY AM、华为交换机、华为路由器、华三交换机、华三路由器、思科交换机、思科路由器、思科防护墙、Windows服务器、Linux服务器、堡垒机、迪普防火墙、启明星辰IPS、启明星辰防火墙等等。

来源:freebuf.com 2019-05-05 14:28:33 by: 宁盾nington

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论