华为云计算 云知识 安盟双因素认证基础服务平台-

安盟双因素认证基础服务平台-

安盟双因素认证基础服务平台
适用于:Linux/Windows/Android/iOS/Unix
商品简介:AXSP基于双因素强认证技术,集成OTP、BIO等多种身份要素,提供丰富标准化技术接口和规范,为企业HCS云环境构建双因素强身份认证平台化服务,满足《等保》合规要求,强化IT系统边界安全、并在护网、防范勒索病毒传播、零信任架构中发挥价值。
商品亮点:基于混合云IT架构,集成多种认证要素,构建双因素认证基础服务平台,成为IT基础架构的一部分。 ,覆盖所有双因素认证需求场景,实现全方位口令安全加固,消除每一个弱口令,满足等保合规、护网等要求。,分享二十年来在金融、电网、大型企业集团、政府等行业口令安全加固最佳实践,为客户实现口令安全可控助力。,系统默认支持1000个IP资产的双因素认证,特殊场景如超过1000个IP资产,需加购认证代理许可。,下单配置请参考“商品说明”置顶部分的“下单配置指导”。
安盟双因素认证基础服务平台
商品说明
版本: V9.0 交付方式: License
适用于: Linux/Windows/Android/iOS/Unix 上架日期: 2023-11-17 09:11:14

下单配置指导:

1、安盟双因素认证基础服务平台基本配置包括双因素认证AXSP系统和令牌,其中双因素认证AXSP系统指认证服务器端的用户数许可,即允许创建多少账号;令牌指通过加密实现不可复制和篡改的第二身份认证要素,账号必须绑定令牌,才能实现双因素认证功能。一般情况下,双因素认证AXSP系统许可数量等于令牌数量,也可以大于,以便于日后扩充令牌或针对特殊场景做定制化认证,如某些账号登录某些系统时不需要做双因素认证。

2、本系统默认支持1000个IP资产的双因素认证,即允许1000个IP资产(如 堡垒机 、VPN、网络设备、OS等)接入安盟AXSP系统实现双因素认证。特殊场景如OS的双因素认证,IP资产可能超过1000个,此时需要下单购买认证代理,下单数量为超出1000的部分。

3、令牌默认为手机APP令牌,如需硬件令牌或短信令牌,请务必和客服联系确认有关事宜(硬件令牌因为电池寿命有时间期限,一般3-5年;短信令牌需要用户方提供短信平台接口支持),然后下单时备注需要哪种令牌及各种令牌的数量。三种令牌可以混合配置,如30个硬件令牌+10个手机APP令牌+10个短信令牌。

4、对于用户多平台(多朵云)的场景,如有3朵云,需要下单购买3套双因素认证AXSP系统。如果3朵云的运维人员相同,即某运维人员在3朵云上都有运维账号,则只需购买实际需求数量(一般为运维人员的数量)的令牌,部署时在3朵运的认证系统中导入令牌的种子文件,这样运维人员只需持有一个令牌即可实现在3朵云间漫游。

5、如需要现场部署实施,需下单购买安盟双因素认证基础服务平台配套服务之部署实施服务,一般下单数量为5个人天,下单链接:https://marketplace.huaweicloud.com/contents/c13330d9-4854-4ca9-9338-38d1588c4ead

6、最终配置和服务以实际项目匹配为准,了解更详细信息可咨询客服。

7、下单样例参考:
用户需求:跨平台,3朵云,50个运维人员,3朵云交叉运维,1500个IP资产,包括运维堡垒机和OS(Linux)等,需要现场交付,永久许可。
下单建议配置:
双因素认证AXSP系统-永久授权:60用户数(可根据实际情况适量冗余),3套
令牌-永久授权:60用户数(可根据实际情况适量冗余),1套
认证代理-永久授权:资产IP数600(可根据实际情况适量冗余),1套
配套服务:部署实施服务,人天数5

 

安盟双因素认证基础服务平台

一、需求背景

·云混合IT架构下,网络物理边界模糊,身份是新边界,帐号密码成为整个IT系统的脆弱点、突破口、末道防线与命门!

·企业网络安全和 数据安全 、护网、勒索病毒传播、零信任架构等对口令安全提出了新的挑战。

·《等保》2.0标准对口令安全提出了更高的要求和明确的解决建议。

二、 解决方案 视角

提供丰富技术接口,覆盖企业IT环境内尽可能的需求场景,实现企业全网全方位整体口令 安全加固 ,消除每一个弱口令,避免每一个由于弱口令导致的安全问题。

三、部署示意图

系统部署示意图.png

四、技术特点

4.1 场景全覆盖

本方案为企业的所有IT资源提供口令加固和双因素身份认证基础服务,实现全覆盖:

1)边界:VPN/Windows桌面/网络 / WIFI

2)应用系统: Login + 交易/关键功能

3)IT运维:堡垒机/服务器主机/ 数据库 系统/网络设备操作

4)其他IT资源和非IT资源:如IP摄像头等

 4.2.提供丰富技术接口和多种技术实现路径,为双因素认证方案全覆盖提供保障

1)账号管理服务接口

2)口令加固/多因素认证服务认证及认证要素交付接口

3)密码托管定期改密校验接口及密码交付接口

4)安全策略配置接口/日志输出接口/账号同步接口

5)丰富的接口与对接能力,始终围绕客户需求场景建立口令加固安全生态

接口类型包括:

• 账号管理接口

–完成账号(需要多因素认证的账号)的创建、变更、删除、权限等生命周期管理功能

–Webservice/Socket/API

• 认证服务接口

–提供多因素认证服务功能

–RADIUS/SecurID/AM Agent/Webservice/API

• 安全认证策略配置接口

–依据账号角色的安全策略/使用体验/技术可行性等因素,选择合适的一种/多种认证方式组合,可能的话,可以建立账号安全认证策略的标准模型。

–Webservice/API

• 日志输出接口

–可自形成日志报表,亦可通过接口输出到企业日志统一分析平台

–Webservice/API

• 其他接口

–用户自助服务功能实现接口,如设置PIN、同步令牌、激活手机令牌等

–特殊应用场景的特殊认证模式兼容支持的用户定制接口

短信接口 (发送动态密码短信/报警信息等)、邮件接口等

–Webservice/API

4.3 服务标准化、规范化

  服务规范:

–本平台提供多因素身份认证基础服务

–多因素指除了你所记忆的密码(what you know)外,增加第二身份信息要素(不可复制不可篡改)验证,如OTP(硬件/手机APP/手机短信,what you have),Bio(指纹/掌纹/脸谱/虹膜/静脉...,what you are)

–可以接入本平台实现多因素认证服务的对象包括:

 1)VPN/Windows桌面/网络接入 Login

 2)It运维Login:堡垒机/服务器主机/数据库系统/网络设备

 3)应用系统,Login + 交易/关键功能操作

  接口规范:

–账号管理接口 / 多因素认证接口

–安全策略配置接口 / 日志输出接口 / 账号同步接口 >>>

  账号认证安全策略规范:

–依据账号角色安全策略/使用体验/技术可行性等因素,选择合适的一种/多证方式组合

–可参考账号认证安全策略模型。

五、功能列表

5.1 资源管理

用户管理:对认证账号进行管理,如添加账号、编辑账号、删除账号、添加用户组、设置访问权限等。

令牌管理:对身份认证令牌进行管理,如启用令牌、禁用令牌、同步令牌、重置PIN码和删除令牌等。

代理主机管理:对代理主机进行管理,如添加代理主机、编辑代理主机、删除代理主机、设置访问权限等。

管理员列表:对管理员账号进行管理,如添加账号、编辑账号、删除账号、启用账号、禁用账号等。

异常账号管理:对状态异常的管理员账号进行管理,如将状态异常的管理员账号重置为可用状态。

5.2 系统设置

系统参数:对系统服务监听端口、系统备份等全局参数进行管理

运行参数:对与账号、令牌等有关的参数进行管理,如密码策略、账号生命周期、动态口令有效时间等。

组件管理:对系统的组件进行管理,如添加核心组件、添加认证网关等。

导入用户:批量导入用户功能

导入令牌:批量导入身份认证令牌授权功能

导入代理主机:批量导入认证代理主机功能

系统许可:查看与升级系统许可功能

LDAP策略:管理与LDAP对接的参数

代理主机配置文件:生成SecurID客户端所需要的配置文件

认证代理参数:管理安盟认证代理软件所需要的参数

密码策略:对改密组件的密码策略进行管理

会话管理:查看与管理在线的管理员账号

5.3 RADIUS属性

RESPOND属性:管理RADIUS服务的RESPONSE属性

CHECK属性:管理RADIUS服务的CHECK属性

IP地址池:管理RADIUS服务的IP地址池

Proxy服务:管理RADIUS代理服务器

5.4 批量操作

导出所有用户信息:导出所有用户信息

导出所有令牌信息:导出所有令牌信息

批量启用用户:批量启用用户

批量禁用用户:批量禁用用户

批量删除用户:批量删除用户

批量设置用户密码:批量设置用户密码

批量设置用户类型:批量设置用户类型

批量修改用户信息:量修改用户信息

批量分配令牌:批量分配令牌

批量回收令牌:批量回收令牌

批量设置PIN码:批量设置PIN码

批量发布令牌:批量发布令牌

批量修改令牌模式:批量修改令牌模式

六、客户价值

6.1 整体价值

–在网内构建了以口令加固和强身份认证的技术平台,提供身份安全的基础服务。

–需要实施口令加固和强身份认证的IT资源可即时按规范接入该服务,实现全方位的口令安全加固。

–消除全网内的弱口令以及由弱口令引起的安全风险,整体提升企业信息网络的安全性。

6.2 功能价值

–加强账号管控,杜绝非授权访问,保障数据安全。

–实现《等保》和《网络安全法》等合规要求。

–有效阻隔黑客/红队攻破边界和在网内横向和纵向渗透、提权,为护网提供利器。

–有效阻隔勒索病毒利用RDP、 VNC、Sql Server、Tomcat、FTP等的弱口令传播。

–解决疫情常态放控下的普遍性远程办公的口令安全性问题。

–解决零信任架构下的口令安全和身份鉴别问题。

查看详情

云商店免费试用中心

立即体验
Flexus应用服务器L实例 2核2G 免费体验