安盟双因素认证基础服务平台-
版本: V9.0 | 交付方式: License |
适用于: Linux/Windows/Android/iOS/Unix | 上架日期: 2023-11-17 09:11:14 |
下单配置指导:
1、安盟双因素认证基础服务平台基本配置包括双因素认证AXSP系统和令牌,其中双因素认证AXSP系统指认证服务器端的用户数许可,即允许创建多少账号;令牌指通过加密实现不可复制和篡改的第二身份认证要素,账号必须绑定令牌,才能实现双因素认证功能。一般情况下,双因素认证AXSP系统许可数量等于令牌数量,也可以大于,以便于日后扩充令牌或针对特殊场景做定制化认证,如某些账号登录某些系统时不需要做双因素认证。
2、本系统默认支持1000个IP资产的双因素认证,即允许1000个IP资产(如 堡垒机 、VPN、网络设备、OS等)接入安盟AXSP系统实现双因素认证。特殊场景如OS的双因素认证,IP资产可能超过1000个,此时需要下单购买认证代理,下单数量为超出1000的部分。
3、令牌默认为手机APP令牌,如需硬件令牌或短信令牌,请务必和客服联系确认有关事宜(硬件令牌因为电池寿命有时间期限,一般3-5年;短信令牌需要用户方提供短信平台接口支持),然后下单时备注需要哪种令牌及各种令牌的数量。三种令牌可以混合配置,如30个硬件令牌+10个手机APP令牌+10个短信令牌。
4、对于用户多平台(多朵云)的场景,如有3朵云,需要下单购买3套双因素认证AXSP系统。如果3朵云的运维人员相同,即某运维人员在3朵云上都有运维账号,则只需购买实际需求数量(一般为运维人员的数量)的令牌,部署时在3朵运的认证系统中导入令牌的种子文件,这样运维人员只需持有一个令牌即可实现在3朵云间漫游。
5、如需要现场部署实施,需下单购买安盟双因素认证基础服务平台配套服务之部署实施服务,一般下单数量为5个人天,下单链接:https://marketplace.huaweicloud.com/contents/c13330d9-4854-4ca9-9338-38d1588c4ead
6、最终配置和服务以实际项目匹配为准,了解更详细信息可咨询客服。
7、下单样例参考:
用户需求:跨平台,3朵云,50个运维人员,3朵云交叉运维,1500个IP资产,包括运维堡垒机和OS(Linux)等,需要现场交付,永久许可。
下单建议配置:
双因素认证AXSP系统-永久授权:60用户数(可根据实际情况适量冗余),3套
令牌-永久授权:60用户数(可根据实际情况适量冗余),1套
认证代理-永久授权:资产IP数600(可根据实际情况适量冗余),1套
配套服务:部署实施服务,人天数5
安盟双因素认证基础服务平台
一、需求背景
·云混合IT架构下,网络物理边界模糊,身份是新边界,帐号密码成为整个IT系统的脆弱点、突破口、末道防线与命门!
·企业网络安全和 数据安全 、护网、勒索病毒传播、零信任架构等对口令安全提出了新的挑战。
·《等保》2.0标准对口令安全提出了更高的要求和明确的解决建议。
二、 解决方案 视角
提供丰富技术接口,覆盖企业IT环境内尽可能的需求场景,实现企业全网全方位整体口令 安全加固 ,消除每一个弱口令,避免每一个由于弱口令导致的安全问题。
三、部署示意图
四、技术特点
4.1 场景全覆盖
本方案为企业的所有IT资源提供口令加固和双因素身份认证基础服务,实现全覆盖:
1)边界:VPN/Windows桌面/网络 / WIFI
2)应用系统: Login + 交易/关键功能
3)IT运维:堡垒机/服务器主机/ 数据库 系统/网络设备操作
4)其他IT资源和非IT资源:如IP摄像头等
4.2.提供丰富技术接口和多种技术实现路径,为双因素认证方案全覆盖提供保障
1)账号管理服务接口
2)口令加固/多因素认证服务认证及认证要素交付接口
3)密码托管定期改密校验接口及密码交付接口
4)安全策略配置接口/日志输出接口/账号同步接口
5)丰富的接口与对接能力,始终围绕客户需求场景建立口令加固安全生态
接口类型包括:
• 账号管理接口
–完成账号(需要多因素认证的账号)的创建、变更、删除、权限等生命周期管理功能
–Webservice/Socket/API
• 认证服务接口
–提供多因素认证服务功能
–RADIUS/SecurID/AM Agent/Webservice/API
• 安全认证策略配置接口
–依据账号角色的安全策略/使用体验/技术可行性等因素,选择合适的一种/多种认证方式组合,可能的话,可以建立账号安全认证策略的标准模型。
–Webservice/API
• 日志输出接口
–可自形成日志报表,亦可通过接口输出到企业日志统一分析平台
–Webservice/API
• 其他接口
–用户自助服务功能实现接口,如设置PIN、同步令牌、激活手机令牌等
–特殊应用场景的特殊认证模式兼容支持的用户定制接口
– 短信接口 (发送动态密码短信/报警信息等)、邮件接口等
–Webservice/API
4.3 服务标准化、规范化
服务规范:
–本平台提供多因素身份认证基础服务
–多因素指除了你所记忆的密码(what you know)外,增加第二身份信息要素(不可复制不可篡改)验证,如OTP(硬件/手机APP/手机短信,what you have),Bio(指纹/掌纹/脸谱/虹膜/静脉...,what you are)
–可以接入本平台实现多因素认证服务的对象包括:
1)VPN/Windows桌面/网络接入 Login
2)It运维Login:堡垒机/服务器主机/数据库系统/网络设备
3)应用系统,Login + 交易/关键功能操作
接口规范:
–账号管理接口 / 多因素认证接口
–安全策略配置接口 / 日志输出接口 / 账号同步接口 >>>
账号认证安全策略规范:
–依据账号角色安全策略/使用体验/技术可行性等因素,选择合适的一种/多证方式组合
–可参考账号认证安全策略模型。
五、功能列表
5.1 资源管理
用户管理:对认证账号进行管理,如添加账号、编辑账号、删除账号、添加用户组、设置访问权限等。
令牌管理:对身份认证令牌进行管理,如启用令牌、禁用令牌、同步令牌、重置PIN码和删除令牌等。
代理主机管理:对代理主机进行管理,如添加代理主机、编辑代理主机、删除代理主机、设置访问权限等。
管理员列表:对管理员账号进行管理,如添加账号、编辑账号、删除账号、启用账号、禁用账号等。
异常账号管理:对状态异常的管理员账号进行管理,如将状态异常的管理员账号重置为可用状态。
5.2 系统设置
系统参数:对系统服务监听端口、系统备份等全局参数进行管理
运行参数:对与账号、令牌等有关的参数进行管理,如密码策略、账号生命周期、动态口令有效时间等。
组件管理:对系统的组件进行管理,如添加核心组件、添加认证网关等。
导入用户:批量导入用户功能
导入令牌:批量导入身份认证令牌授权功能
导入代理主机:批量导入认证代理主机功能
系统许可:查看与升级系统许可功能
LDAP策略:管理与LDAP对接的参数
代理主机配置文件:生成SecurID客户端所需要的配置文件
认证代理参数:管理安盟认证代理软件所需要的参数
密码策略:对改密组件的密码策略进行管理
会话管理:查看与管理在线的管理员账号
5.3 RADIUS属性
RESPOND属性:管理RADIUS服务的RESPONSE属性
CHECK属性:管理RADIUS服务的CHECK属性
IP地址池:管理RADIUS服务的IP地址池
Proxy服务:管理RADIUS代理服务器
5.4 批量操作
导出所有用户信息:导出所有用户信息
导出所有令牌信息:导出所有令牌信息
批量启用用户:批量启用用户
批量禁用用户:批量禁用用户
批量删除用户:批量删除用户
批量设置用户密码:批量设置用户密码
批量设置用户类型:批量设置用户类型
批量修改用户信息:量修改用户信息
批量分配令牌:批量分配令牌
批量回收令牌:批量回收令牌
批量设置PIN码:批量设置PIN码
批量发布令牌:批量发布令牌
批量修改令牌模式:批量修改令牌模式
六、客户价值
6.1 整体价值
–在网内构建了以口令加固和强身份认证的技术平台,提供身份安全的基础服务。
–需要实施口令加固和强身份认证的IT资源可即时按规范接入该服务,实现全方位的口令安全加固。
–消除全网内的弱口令以及由弱口令引起的安全风险,整体提升企业信息网络的安全性。
6.2 功能价值
–加强账号管控,杜绝非授权访问,保障数据安全。
–实现《等保》和《网络安全法》等合规要求。
–有效阻隔黑客/红队攻破边界和在网内横向和纵向渗透、提权,为护网提供利器。
–有效阻隔勒索病毒利用RDP、 VNC、Sql Server、Tomcat、FTP等的弱口令传播。
–解决疫情常态放控下的普遍性远程办公的口令安全性问题。
–解决零信任架构下的口令安全和身份鉴别问题。