寧盾網絡設備AAA起源於滿足某大型企業數據中心運維工程師的一個小小願望,他希望寧盾能在已部署在其數據中心的雙因素認證產品基礎上,擴展出對不同品牌網絡設備操作行爲日誌詳細記錄並快速檢索。寧盾驚喜地發現,雖然它解決的是一個小問題,卻是客戶的一個普遍痛點。隨着越來越多新的客戶需求收集,寧盾在此功能基礎逐漸擴展成多品牌網絡兼容、精細網絡權限、風險操作實時預警的AAA管理產品,受到金融、能源、大型互聯網等高安全級別行業客戶青睞,成爲堡壘機有效的補充。
一、 業務痛點分析
(1)堡壘機是目前主流網絡運維准入設備,隨着外包網絡運維增多,一些高安全級別行業如金融、能源等,對能實現命令行級權限管理、違規命令及時預警、及細粒度阻止危險等事前操作有了更高需求,堡壘機其粗粒度權限管理機制無法滿足;
(2)除了定期修改密碼,數據中心對於雙因素認證無論是業務還是政策都是剛性需求;
(3)客戶數據中心網絡設備存在多廠商、多品牌情況,網絡設備商AAA無論是兼容性還是服務支持方面無法打消客戶顧慮;
二、 寧盾網絡AAA管理核心功能
寧盾網絡設備AAA管理是集認證、授權、審計於一體的網絡設備綜合運維管理平臺,幫助企業實現對所有異構交換機、路由器等不同類型網絡設備的統一集中運維管理。
異構網絡設備統一管理
基於Tacacs+、Radius協議,適配主流網絡、安全廠商設備,如思科、華爲、中興、華三、Aruba、銳捷、PA、Fortinet、A10、F5、深信服等,幾乎覆蓋了所有主流網絡廠商設備,解決以往網絡廠商提供AAA系統無法很好兼容管理其他廠商設備的問題。
設備賬號統一管理,靈活配置外包人員賬號生命週期
可提供集中賬號管理。既支持本地賬號,也可以同步AD域、LDAP等第三方數據源。幫助企業加強賬號管理及統計賬號信息,去除賬號複用等問題。
雙因素認證,增強賬號安全
可提供集中認證管理,並自帶雙因素認證(硬件token,APP令牌等),支持按需配置不同的認證登錄方式,加強設備登錄安全,避免定期修改密碼的重複性勞動。
細粒度設備權限管理
可提供統一的授權管理,增大網絡設備的使用安全性。支持對不同用戶/用戶組(部門) /角色/設備劃分細粒度權限,具體到用戶的命令權限,包括設備命令權限等級以及特定命令/命令集的權限,實現場景化的三級授權機制。
按角色授權:
三級授權-命令權限:
結構化操作審計日誌
包括認證日誌、授權日誌及審計日誌,模塊化報表可快速追溯用戶、終端、設備、操作命令及操作結果,實現實時審計與故障跟蹤。
不合規操作策略設置及實時預警
基於設置不同的規則,通過與郵件、短信網關對接,實現風險操作實時預警,縮短響應時間,最大程度阻攔風險事件發生。
配置風險操作郵件提醒:
