宁盾网络设备AAA起源于满足某大型企业数据中心运维工程师的一个小小愿望,他希望宁盾能在已部署在其数据中心的双因素认证产品基础上,扩展出对不同品牌网络设备操作行为日志详细记录并快速检索。宁盾惊喜地发现,虽然它解决的是一个小问题,却是客户的一个普遍痛点。随着越来越多新的客户需求收集,宁盾在此功能基础逐渐扩展成多品牌网络兼容、精细网络权限、风险操作实时预警的AAA管理产品,受到金融、能源、大型互联网等高安全级别行业客户青睐,成为堡垒机有效的补充。


一、业务痛点分析

(1)堡垒机是目前主流网络运维准入设备,随着外包网络运维增多,一些高安全级别行业如金融、能源等,对能实现命令行级权限管理、违规命令及时预警、及细粒度阻止危险等事前操作有了更高需求,堡垒机其粗粒度权限管理机制无法满足;

(2)除了定期修改密码,数据中心对于双因素认证无论是业务还是政策都是刚性需求;

(3)客户数据中心网络设备存在多厂商、多品牌情况,网络设备商AAA无论是兼容性还是服务支持方面无法打消客户顾虑;


二、宁盾网络AAA管理核心功能

宁盾网络设备AAA管理是集认证、授权、审计于一体的网络设备综合运维管理平台,帮助企业实现对所有异构交换机、路由器等不同类型网络设备的统一集中运维管理。

宁盾网络AAA管理.jpg

异构网络设备统一管理

基于Tacacs+、Radius协议,适配主流网络、安全厂商设备,如思科、华为、中兴、华三、Aruba、锐捷、PA、Fortinet、A10、F5、深信服等,几乎覆盖了所有主流网络厂商设备,解决以往网络厂商提供AAA系统无法很好兼容管理其他厂商设备的问题。

异构网络设备统一管理.jpg

??


设备账号统一管理,灵活配置外包人员账号生命周期

可提供集中账号管理。既支持本地账号,也可以同步AD域、LDAP等第三方数据源。帮助企业加强账号管理及统计账号信息,去除账号复用等问题。

设备多源账号统一管理.jpg

?


双因素认证,增强账号安全

可提供集中认证管理,并自带双因素认证(硬件token,APP令牌等),支持按需配置不同的认证登录方式,加强设备登录安全,避免定期修改密码的重复性劳动。

设备集中认证+双因素认证.jpg

?


细粒度设备权限管理

可提供统一的授权管理,增大网络设备的使用安全性。支持对不同用户/用户组(部门) /角色/设备划分细粒度权限,具体到用户的命令权限,包括设备命令权限等级以及特定命令/命令集的权限,实现场景化的三级授权机制。

按角色授权:

细粒度授权-按角色授权.jpg

?

三级授权-命令权限:

细粒度授权-命令权限.jpg

?


结构化操作审计日志

包括认证日志、授权日志及审计日志,模块化报表可快速追溯用户、终端、设备、操作命令及操作结果,实现实时审计与故障跟踪。

结构化操作审计日志.jpg

?


不合规操作策略设置及实时预警

基于设置不同的规则,通过与邮件、短信网关对接,实现风险操作实时预警,缩短响应时间,最大程度阻拦风险事件发生。

配置风险操作邮件提醒:

风险操作邮件提醒.jpg