达美乐比萨是一家国际连锁披萨外送餐厅店,于1997年进入中国市场,截止至2021年10月,达美乐比萨在上海、北京分别拥有140余家和110余家门店,并在杭州、天津、苏州、南京、深圳、广州、无锡等地开设门店。
1、客户需求
其员工在外网办公环境下借助思科 Cisco VPN 访问各种内部应用资源,采用域账号密码认证。当前员工的VPN账号普遍存在弱密码现象,易引起安全问题。为加强 Cisco VPN 登录保护,达美乐选用宁盾双因素认证解决方案,提升移动办公账号安全。
1、方案概述
达美乐借助宁盾,为企业思科 Cisco VPN 部署了双因素认证服务平台(DKEY AM),并采用了双机互备高可用方案。
通过在思科 Cisco VPN 配置第三方认证(RADIUS),指向DKEY AM。可与达美乐 AD 数据源对接,实现多系统统一帐号源。助力达美乐思科 Cisco VPN双因素动态密码加固,保护VPN账号登录安全。
为方便办公,在动态密码形式上,达美乐选用了宁盾的手机令牌。手机令牌与员工账号进行绑定,只需要安装在员工随身携带的手机上即可,每隔60秒会自动生成一个随机的6位数动态码,不需要使用网络,且无其他额外使用成本。
达美乐员工登录Cisco VPN时,首先输入用户名为AD域控用户名,输入静态密码为AD域控密码,然后提交认证,此过程为静态密码认证。
通过后,再输入手机令牌上的6位动态密码并提交,此过程为动态密码认证。认证通过后方可放行,最终实现VPN接入的双重保护,解决了弱密码问题带来的潜在安全隐患。
1、加固身份认证,提升账号安全:
1) 时间令牌账号加固:宁盾手机APP令牌通过将令牌种子与UTC时间基于SM3算法生成的一次性时间令牌,该令牌每隔固定时间变化一次,任何一个动态口令能且仅能认证一次,具有防暴力穷举、防词典轮询优势,有效保护登录账号安全。
2) 审计日志:详细的账号登录日志,做到用户登录可追溯。
2、减少管理成本,提升运维管理效率:
1) 降低口令管理成本:通过增加动态口令,可有效减少口令定期更改次数、口令强度设定困扰、减少口令遗忘而带来的管理成本;
2) 令牌绑定与派发:支持邮件扫码、自服务平台等多种方式的令牌派发与绑定,并可根据角色进行增量派发,提高运维管理的工作效率;
3) 令牌解绑:员工离职快速现实多应用场景统一解绑,有效保护企业账号安全;
4) 风险账号预警:限制口令错误次数,通过登录锁定,并以邮箱或短信的方式将非法账号推送给管理员。