Language-
某城商行数据中心信创环境建设网络设备AAA系统最佳实践
客户介绍:
某城市商业银行成立于上世纪90年代末,属于国有控股的城市商业银行。
项目背景及需求:
该某城商行数据中心部署了信创服务器,出于国产化和等保合规考虑,拟寻找一套具备高兼容性的国产安全运维管理 AAA 系统对数据中心内的网络设备、安全设备等进行统一认证、授权、审计管理。
当前,该城商行及下属分行数据中心设备数量近 3000 台,在做统一管理时面临着以下难题:
• 设备类型多样,品牌不一,如Cisco、H3C、华为、Juniper等,设备难兼容;
• 不同角色的运维管理人员,身份合规管理不到位,权限划分不够细粒度;
• 其他管理系统针对网络设备管理的的风险告警无法满足需求,如缺少敏感命令操作及时告警通知;
• 难以实名审计登录及操作行为。
宁盾解决方案:
在经过大量调研选型及进场测试后,宁盾网络设备 AAA 系统在一众方案中脱颖而出。作为中立第三方的身份基础设施服务商,宁盾网络设备 AAA 系统在适配异构化的设备时其功能与兼容性亮点突出。
1. 宁盾网络设备 AAA 系统支持RADIUS、TACACS+认证能力,在认证场景上覆盖的设备更广,无论是国外主流品牌,亦或国内厂商,宁盾均可对接适配,并做成标准化能力,形成规范;
2. 支持细粒度授权,如敏感命令集操作,满足客户复杂的权限配置要求;
3. 支持通过邮件、短信等方式进行敏感命令操作的风险告警,做到事中审查;
4. 支持一键开启 MFA 多因素认证,加强对特权账户身份的合规性认证;
5. 具备 TACACS+ 独立日志模块,可以对用户命令输出做授权、审计,事后可追溯性强。
方案价值:
• 快速对接各设备,实现统一身份认证管理
相比较于过去运维管理人员只能在本地创建账号进行认证,工作量陡增,采用宁盾网络设备 AAA 系统后,IT 管理员可在 Web 平台上集中创建账号密码,批量设定用户的登录密码、失效时间、在线数量等,同时也支持对接本地及外部账号源,如AD、LDAP、POP3、数据库等,快速实现统一管理,大幅提升效率。
• 不同角色细粒度授权,分级管理更安全
作为关键基础设施单位,银行对管理员权限的管控要求分级分权,精细化管控。使用宁盾网络设备 AAA 系统后,不同级别的管理员可一键分配不同角色属性、不同权限、TACACS+命令集,真正做到了细粒度授权,分级分权管理,保障了网络设备管理的安全性。
只读用户登录网络设备后,除查看命令,其余均被拒绝
超级管理员用户登录成功,所有命令均无限制
• 敏感操作及时预警,快速响应隔离风险
通过设置 TACACS+ 敏感命令集,当用户触发敏感操作时,AAA 系统将以短信、邮件方式告知管理员,快速响应采取行动,将风险账号进行隔离,并通过追溯敏感操作行为日志,追踪定责。
宁盾网络设备AAA系统风险告警设置
• 日志导出及审计联动,满足等保合规要求
网络设备 AAA 系统记录设备管理员的认证、授权及操作行为审计信息日志,日志支持 syslog 导出,且可以与审计系统联动。日志包含登录名、登录结果、认证时间、IP、权限级别等内容,助力银行单位更好地完成合规审计工作。
