信创建设,如何统一管理异构服务器的认证、密码、权限管理等?
对于金融、能源、运营商、央国企等信创单位运维人员来说,异构化服务器的统一管理是个“老大难”问题。CentOS、Windows、信创操作系统服务器,既要考虑到账号、权限的安全管理、审计,又要面临密评、等保合规、行业监管等要求。如何解决以上问题,实现安全、合规、统一管理、提升效率等目标?宁盾将通过下面几个客户场景来揭晓答案。
服务器统一认证与管理常见场景
某国有钢铁企业:本地账号存风险,需过等保
某钢铁企业拥有近千台服务器,以 CentOS 、Windows 系统为主。作为国企,该钢铁企业未来也将有大量信创服务器。由于账号密码均在本地创建,手动管理维护存在密码泄露、权限管理混乱等安全隐患。为满足三级等保要求,提升运维效率及安全,该公司正调研服务器统一认证管理方案。
某金融公司:信创&密评要求定期修改口令等
某保险公司存在数百台信创服务器,密评和行业监管要求企业需对服务器进行统一认证管理,包含定期修改口令、账号权限管控及 MFA 多因素认证等。该企业运维人员曾考虑使用 AD,但本地服务器操作系统类型较多,加入AD域过程复杂且需要持续运维处理脱域问题,再者 AD 不具备 MFA 多因素认证能力,需另找一家 MFA 厂商和 AAA 厂商。
某中字头企业:信创服务器过密评且替换AD
某制造业央企应国产化要求已采购大批信创服务器,且 AD 也有替换可能。服务器需做统一管理及满足密评要求。
三种用户场景面临问题总结如下:
之前使用 AD 进行服务器统一认证管理的,如果面临信创要求,需要寻找厂商来替代 AD。
银行、证券等金融行业要求或密评要求服务器统一认证,定期修改口令、MFA、权限控制等。
帮助提升运维人员对于服务器账号管理的效率和安全性。
宁盾解决方案
宁盾身份域管产品,支持全场景统一身份认证及管理,兼容常用 Linux 发行版操作系统和信创服务器操作系统,为服务器运维提供以下能力:
1. 计算机资产可视化:
展示所有接管的计算机,让资产看得见,如服务器数量和组织架构、操作系统、IP、MAC、主机名、连接状态等,及时处理长期未登录的机器。
2. 统一认证:
接管服务器操作系统的认证,统一到宁盾身份域管进行认证。
灵活分配哪些账号可以登录哪些服务器,可以实时调整,立即生效;
配置服务器是否禁止本地账号登录,只能使用管理员分配的账号登录;
配置认证策略实现,哪些IP段可以登录,哪个时间段可以登录,保证认证安全;
配置MFA多因素认证(OTP动态令牌),登录服务器时增加动态密码校验,降低密码泄露造成的风险。
3. 便捷改密:
便捷的改密方式和密码安全两手抓。
设置密码过期天数,并支持在密码到期前,通过短信/邮件通知提醒用户改密;
支持两种改密方式:SSH、自服务web平台;
配置密码策略,保证密码安全。如禁止使用不满足复杂度的弱密码,禁止使用历史密码,禁止使用连续的字母或数字,禁止使用键盘横纵向连续字符等。
4. 权限管理:
让权限更灵活。
灵活配置不同账号登录不同服务器的权限,管理员or普通用户;
同一个账号登录不同服务器可以有不同权限;
根据业务需求自定义权限,并下发到服务器;
根据实际业务调整,变更当前账号登录服务器的权限。
5. 认证审计:
认证、改密等行为充分审计,满足审计需求。
认证和改密记录,包含不限于账号信息、网络信息、时间信息等;
支持联动市面主流审计服务器,将认证日志进行同步。
采用宁盾方案的优势
目前对于服务器进行统一认证管理的方案有 SSSD、一些登录插件厂商,与之相比,采用宁盾身份域管方案具有以下优势:
部署轻便
(1)对比 SSSD 每台服务器需要复杂的配置,对于一个熟练的运维人员,将一台服务器配置 SSSD 需要花费2个小时。对于上千台服务器来说,需要花费80多个人天,且需要面临运维排障复杂的难题。
(2)使用宁盾身份域管方案,每台服务器仅需要花费短短几分钟即可完成部署,效率显著提升。
安全性高
(1)虽然部分登录插件厂商也具备部署轻便特性,但是在安全性上有待加强。宁盾域管对于服务器的管控拥有一套自研的安全保护机制,从服务器域身份的安全存储,到身份认证的安装传输,再到域控服务的安全部署,做到比微软 AD 域控更安全。
(2)系统漏洞处理上,宁盾身份域管通过了上百个大型项目专业机构的漏洞扫描,并配有专业的漏洞运维小组,迅速可持续地解决漏洞问题,守护客户的系统安全。
可靠性强
(1)具备双机热备和异地多活能力,满足多分支客户的灾备可靠性需求。
(2)具备完善的逃生机制,即使部署的所有宁盾身份域管服务器全部宕机,也不会影响服务器的认证功能,用户可通过离线方式进行认证。