传统,企业对外基于“防火墙、杀毒软件、入侵检测”抵御外网攻击,对内采用物理隔离的方式禁止企业终端外出/禁止非授权终端的进入。受移动化影响,企业安全面临着“云、管、端”新技术的多重考验。云端业务正在打破内外网控制,无需VPN员工可以随时随地访问。同时员工BYOD、访客及非授权设备穿梭于企业内外网之间,移动互联让企业对于访问网络资源的用户和终端的管控愈加扑朔迷离。
“接入网络的用户是谁,他/他们使用了哪些设备,使用了什么认证通道,访问了哪些资源?访问资源的用户和终端是否可信赖?”因此,基于“用户”+“终端”的可信验证也就显得愈加重要!
大体上我们将访问分为两类应用场景,一类是外网移动办公场景;一类是企业办公内网准入场景;还有一类辅助场景,企业外网访客接入。
一、移动化办公外网访问身份鉴别
传统外网访问需要借助VPN等远程工具接入,以获取内网访问权限;但随着SaaS服务的兴起,员工外网办公可以不用再访问VPN就可直接访问云服务,另外,还可以通过单点登录登录的方式将多个应用系统的认证整合到一个平台中,实现一次登录即可访问权限内所有应用。
同时,因为外网办公中缺少了防火墙、入侵检测等的保护,员工账号密码成为最外层也是仅有的一层防护“大门”,一旦账号密码被攻击,则意味着企业信息的泄漏。因此,双因子身份鉴别成为移动化外网办公的热门方案。
a. VPN/虚拟化移动办公身份鉴别及双因子动态加固
面向Cisco、深信服、checkpoint、山石网科、Citrix、VMWare等多品牌移动化办公场景,提供双因子动态加固解决方案。其中手机令牌作为动态口令生成器,持有国家密码管理办法的商密资格证书。动态口令每隔30/60S变换一次,一旦使用立即失效。通过在账号密码的基础上增加动态密码,有效提升了账号密码安全性,同时确保身份鉴别的唯一性。
b. 单应用(SaaS云服务)身份鉴别及双因子动态加固
面向单应用场景,如office365、ADFS、OWA及SharePoint等移动办公应用,同样可以采用双因子账号加固方案,在账号密码的基础上增加动态密码,形成账号密码动态保护。
c. 多应用单点登录及双因子动态加固
对于应用系统较多的企业场景,为您提供统一身份及单点登录平台,支持本地及云部署,对接B/S、C/S应用。同时为提升单点登录安全性验证,除前面的动态令牌双因子验证加固外,还可借助推送认证或企业微信/钉钉“扫一扫”实现安全登录。
二、企业办公网“用户”及“终端”可信验证
传统,用户入网身份验证与终端合规性检测通常是分离的,这主要是因为传统可信验证更多的是在讲身份鉴别的可信度。但随着移动化的发展,企业办公网中的电脑终端也开始“移动”,为防止带有病毒或不合规的终端进入企业,因此除账号身份验证外,企业更加需要加强入网终端的合规性检测。
与802.1X认证相比,下一代终端准入产品(NDACE)旁路部署于核心交换机,通过交换机镜像流量及Windows域控开发的方式主动或被动探测终端合规性。因此:
a) 运维:无需配置接入交换机,无需为员工安装客户端,节约2/3
运维成本;
b) 员工:无需安装客户端,终端检测在windows域控底层实现,用户处于无感知状态;
c) 网络架构:交换机流量镜像的不影响企业网络的正常通信,且对网络架构调整的适应性更强;
d) 用户与终端不再分别验证:基于Windows域控采集AD身份信息,同时验证Windows终端的合规性。除非不支持域控检测,如Mac/Linux终端需采用身份认证+轻量化客户端的方式进行可信验证。
因此,我们将企业办公网的可信验证场景划分为Windows无客户端AD域检测和特殊终端身份验证+轻量化客户端检测两大场景。 1、
Windows无客户端AD域检测
基于Windows预控的检测,可以同步实现身份鉴别及终端合规性检测。
a.基于Windows域控采集用户身份
NDACE 主动采集AD域用户身份信息并在运维管理端建立身份与终端的绑定关系。如图,MAC地址为00:E0:4C:75:5A:1A 的终端绑定的用户信息(包括用户名、用户组、用户角色、手机号及邮箱等)展示于同一行表单中。
b.检测终端合规性信息
同时可根据企业业务,检测终端基础信息及合规信息,并将其展示于终端详情中,如安装了哪些杀毒软件,未更新的补丁,网卡信息,内存使用率等;
2、
Mac/Linux终端身份验证+轻量化客户端检测
因不具备AD域身份,面向Mac/Linux终端,提供身份认证+轻量化客户端检测的方式。 a.终端身份认证
面向MAC/Linux电脑提供用户密码或“扫一扫”免密认证; 同时可查看认证用户所使的终端、登录名、用户角色、手机号等身份信息。
b. Mac/Linux轻量化客户端检测
与Windows操作系统不同,Mac/Linux操作系统无法实现零客户端检测。提供多类型客户端检测终端合规性,包括检测MAC电脑安装了哪些软件/Linux运行着哪些进程等。
三、动态防御
自定义终端合规条件,如是否加入AD域,是否安装Symantec杀毒软件,是否更新30天内高危补丁等。实时检测申请入网及运行于网络中的终端,及时发现非合规终端并对其进行隔离。常用网络调控方式包括Virtual Firewall、Switch VLAN、DACL等。
同时,NDACE支持与众多安全厂商联动,打通动态感知、补丁修复、
杀毒、文档加密、安全告警的全方位一体化安全防御体系。
四、辅助场景:访客身份认证
面向外网访客认证,根据企业实际需要,为您准备多种认证方式以满足不同角色的认证需求。
协助扫码:访客与被访人一对一授权认证的方式,追溯访客与被访人的直接关系;
邮件审批:面向外包人员,通过自助申请,统一授权的方式,减少访客登录次数;
短信认证:访客通过手机号短信验证码的方式自助接入网络,一般用于偏商业的场景,与上网行为审计联动,实现实名审计+实名认证,满足82号令合规需求。
总结:
随着业务移动化转型,传统内外网边界防护也正面临着“云、管、端”新技术的多重考验。企业运维人员需要从新的思路出发,寻找更小的可控单位——由“用户”+“终端”所组成的“新身份”。基于“新身份”的可信,建立更复杂的移动互联安全架构。
智能安全接入,从宁盾开始。宁盾成立以来专注于动态密码双因素认证市场,并以技术为导向,于2013年正式上线网络认证系统,形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用的移动化及云发展趋势,宁盾不断创新身份与访问安全管理技术,形成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi认证管理等多个产品线于一体的全场景解决方案。
相关推荐:
loading