> 返回 首页 > 精选文章 > 最佳实践 >还在为对接不标准的身份系统发愁?这份攻略请收好!

还在为对接不标准的身份系统发愁?这份攻略请收好!

发布时间:2023-11-28 10:14:00  来源:宁盾  点击量:

身份安全是网络安全的一个重要领域,旨在确保用户的身份安全可信,防止未经授权的访问和数据泄漏等问题。目前主流的信息安全趋势强调可持续验证、多源信任评估、动态防护、可持续数据防护、一体化安全审计等,特别是零信任、SASE等技术均以身份安全作为安全防护的基石。但在落地应用中,无论是安全厂商、集成商、代理商,还是终端客户,均会被不标准的身份系统对接工作所困扰。例如,零信任、SASE、VPN等产品要对接OA、HR、自建账号,甚至是某个数据库身份,对接难、成本高不说,还可能涉及定制开发,架构不完整导致产品并未发挥真正作用,客户使用体验及产品满意度均受到影响。


那么,在面对不标准的身份系统时,如何降低对接难度,快速交付?如何让产品架构更加完整,发挥最大效用?宁盾认为,一个中立第三方的身份基础设施或许是解决之道。它不仅可以代替传统国外身份管理产品(微软AD、IBM、ApacheDS、OpenLDAP)成为企业的主身份源,为应用、基础设施、终端提供统一身份认证;还可作为企业既有身份源(AD、OA、HR、自建等)对接下游应用的“桥梁”,降低对接成本与运维压力。


宁盾身份安全产品组成


作为国内第三方中立的企业级身份基础设施提供商,宁盾以助力打造企业身份中国标准为使命,致力于构建健壮的身份基础设施,为企业客户和合作伙伴提供标准化的产品,实现全方位的身份安全保障。从2009年成立至今,宁盾身份安全技术持续精益创新,产品体系趋近完善,已拥有MFA多因子认证、统一身份认证(网络认证、AAA认证、SSO单点登录、访客管理)、终端准入、国产身份域管 4 大产品线,覆盖企业办公中的终端、基础设施、应用、运维等场景的身份认证与安全管理。


宁盾结合多年在身份安全及认证管理领域的技术沉淀,以及服务金融、央国企、高科技互联网、先进制造等中大型企业级客户的实践经验,打磨出高开放性与标准化的产品及解决方案,其优势在业内独树一帜。例如,宁盾产品全系为纯国产自研,将更好地满足国资信创改造建设;中立第三方厂商,每一个功能组件都可以对接其他厂商产品,助力方案架构更加完整强健;生态兼容性更强,适配上下游厂商产品,覆盖企业内各个办公场景,降低企业既有应用的对接成本,联动发挥最大价值。


以下仅列举部分安全场景:



01

零信任场景


国内零信任赛道有深信服、奇安信、启明星辰、华为、腾讯等主流厂商。零信任安全的防护理念在于持续验证、多源安全评估、动态访问控制等,但就目前零信任产品的功能而言,并未完全做到以“身份”为基石进行展开。尽管国内厂商开发了很多零信任产品,但在实际应用过程中,零信任产品并未发挥真正的力量。


零信任技术由SDP(软件定义边界)、身份增强(IAM身份和访问管理)、微隔离三大组件组成,其中身份增强部分主要与IAM相关。原因在于零信任安全理念在国外提出时,身份模块建立在微软AD运用已十分广泛的基础上,因此IAM用于增强AD在其他场景下的能力。但国内IT建设并无成熟的身份底座,从理论上来说,身份增强组件应包含LDAP目录服务才能形成闭环。宁盾LDAP身份目录服务填补了这一空白,让零信任安全架构更加完整。


点击文字查看视频效果:宁盾身份目录服务为深信服零信任aTrust提供LDAP认证


有了LDAP身份源后,宁盾MFA多因子认证还可以帮助零信任场景增强身份认证能力,确保接入的用户身份安全可信。对于使用零信任安全产品/方案的企业,宁盾统一身份管理、SSO单点登录、用户自服务等功能还可以解决企业内多个业务系统各自独立维护、员工需要记忆多套账号密码、密码找回需要管理员协助等问题,提升企业的IT运维效率与业务体验。



02

虚拟桌面场景


自Citrix即将退出中国后,深信服、华为、升腾威讯等厂商虚拟桌面(VDI)产品热度大涨。VDI高度依赖AD、LDAP等提供身份源及身份认证与鉴权,当企业内部未使用AD/OpenLDAP产品,或已使用但面临信创替换时,宁盾LDAP身份目录服务可代替传统国外身份管理产品、开源产品(如AD、IBM、ApacheDS、OpenLDAP),作为企业主身份源,为VDI提供统一身份认证与权限校验。


点击文字查看视频效果:宁盾身份目录为深信服桌面云提供LDAP认证


点击文字查看视频效果:宁盾身份目录为华为云桌面提供LDAP认证


VDI是企业用于保障数据安全的重要技术手段之一,但潜在的弱口令问题为企业数据安全埋下隐患。宁盾MFA多因子认证支持对接VDI,为用户登录开启二次动态口令身份验证,降低因弱口令、账户被盗等问题引发的安全风险,严格把守虚拟桌面入口。



03

邮箱场景


邮箱作为企业办公中的必备应用,如虚拟桌面一样依赖AD/LDAP身份源为其提供统一身份认证。尽管邮箱本身自带身份认证模块,但在企业场景中,应用、终端、基础设施的统一身份认证是强需求,若企业内缺少统一身份源,将会影响办公效率与业务体验,同时增加运维压力。此外,近年来因弱口令问题导致的邮箱账号被盗、钓鱼邮件等事件频发,也引起企业对邮箱安全的高度重视。


宁盾LDAP目录服务支持为Coremail论客、亿邮等邮箱提高统一身份认证,并可结合MFA多因子认证实现身份增强,降低弱口令风险。宁盾MFA令牌形式丰富多样,可供企业灵活选择。


点击文字查看视频效果:宁盾身份目录为Coremail提供LDAP认证


点击文字查看视频效果:宁盾为Coremail提供MFA多因子认证



04

VPN接入场景


VPN技术在远程访问中发挥着重要的作用,其中深信服、华为、思科、山石网科、Palo Alto等主流厂商产品在企业客户中应用广泛。与虚拟桌面、邮箱场景相同,宁盾可以纳管VPN场景,不仅能为VPN提供LDAP认证,也可借助MFA多因子认证加强VPN账号登录保护。



点击文字查看视频效果:宁盾MFA多因子认证对接华为VPN


点击文字查看视频效果:宁盾MFA多因子认证对接Cisco思科VPN



05

网络准入认证场景


宁盾有线无线网络准入认证支持为员工、访客、外包、合作伙伴等不同角色的人员提供802.1X认证、MAC地址免认证、Portal认证、飞书/钉钉/企业微信扫码认证(无密码认证)等多种认证方式,适配华为、锐捷、H3C、信锐、深信服、Aruba等国内外主流厂商设备,可实现不同厂商设备的统一身份认证,建立多分支统一认证中心,对整个网络的用户上网进行集中认证和审计。


点击文字查看视频效果:飞书扫码认证连接WiFi网络(PC及手机端)


点击文字查看视频效果:访客自助申请之短信审批授权


此外,宁盾网络准入认证系统支持对接第三方上网行为管理设备,如深信服、H3C,为接入企业网络(内外网)的所有用户提供身份实名认证和清晰完整的上网行为日志,达到实名查询单个用户上网记录的效果,满足实名审计合规性要求。


若企业想对在网终端进行管控,还可借助宁盾终端准入控制引擎对接入企业网络的PC、手机、PAD、IoT设备进行合规检测及访问控制,确保在网人员和终端均符合企业的准入策略,实现身份可信、终端可信。旁路部署方式令企业无需改变现有网络基础环境,对业务无影响,补充了当前无线网络设备的不足之处。



06

运维场景


企业运维场景中存在着账号体系管理混乱、不同厂商设备身份认证方式不统一、权限划分不清晰、过程管理不透明等问题,宁盾LDAP目录服务、MFA多因子认证、AAA认证可以帮助企业实现统一管理运维账号、集中认证、二次身份验证、粗/细粒度授权、集中日志审计管理等目标,增强运维人员身份安全,实现事前有防护、事中有记录、事后可追溯。支持适配JumpServer、安恒、绿盟、网御、齐治科技、帕拉迪、深信服等主流厂商设备。


点击文字查看视频效果:宁盾身份目录对接JumpServer,提供LDAP认证



07

超融合场景


除以上几种常见场景外,宁盾LDAP认证支持为超融合场景提供统一身份认证和权限访问控制。


身份是信息安全建设的重要组成部分,也是企业生产办公要素之一,更是IT基础设施不可或缺的一个底层组件。随着零信任安全、SASE、大模型等新技术崛起,使得身份安全技术变得日益重要,价值也不断攀升。一个强健的身份基础设施,才能为新技术、新场景提供有力保障。未来,宁盾“身份、应用、网络、终端”一体化的身份安全体系将价值最大化,构筑坚实稳固的身份基础设施,助力国内安全厂商生态闭环,为企业客户提供身份联通、能力聚合、架构统一、生态开放的端到端安全解决方案。


宁盾(www.nington.com)版权所有

—END—

安全身份随行
x