数据中心精细安全管理-宁盾异构网络设备AAA诞生及发展-身份与访问管理-51CTO博客

宁盾网络设备AAA起源于满足某大型企业数据中心运维工程师的一个小小愿望，他希望宁盾能在已部署在其数据中心的双因素认证产品基础上，扩展出对不同品牌网络设备操作行为日志详细记录并快速检索。宁盾惊喜地发现，虽然它解决的是一个小问题，却是客户的一个普遍痛点。随着越来越多新的客户需求收集，宁盾在此功能基础逐渐扩展成多品牌网络兼容、精细网络权限、风险操作实时预警的AAA管理产品，受到金融、能源、大型互联网等高安全级别行业客户青睐，成为堡垒机有效的补充。

一、 业务痛点分析

（1）堡垒机是目前主流网络运维准入设备，随着外包网络运维增多，一些高安全级别行业如金融、能源等，对能实现命令行级权限管理、违规命令及时预警、及细粒度阻止危险等事前操作有了更高需求，堡垒机其粗粒度权限管理机制无法满足；

（2）除了定期修改密码，数据中心对于双因素认证无论是业务还是政策都是刚性需求；

（3）客户数据中心网络设备存在多厂商、多品牌情况，网络设备商AAA无论是兼容性还是服务支持方面无法打消客户顾虑；

二、 宁盾网络AAA管理核心功能

宁盾网络设备AAA管理是集认证、授权、审计于一体的网络设备综合运维管理平台，帮助企业实现对所有异构交换机、路由器等不同类型网络设备的统一集中运维管理。

异构网络设备统一管理

基于Tacacs+、Radius协议，适配主流网络、安全厂商设备，如思科、华为、中兴、华三、Aruba、锐捷、PA、Fortinet、A10、F5、深信服等，几乎覆盖了所有主流网络厂商设备，解决以往网络厂商提供AAA系统无法很好兼容管理其他厂商设备的问题。

??

设备账号统一管理，灵活配置外包人员账号生命周期

可提供集中账号管理。既支持本地账号，也可以同步AD域、LDAP等第三方数据源。帮助企业加强账号管理及统计账号信息，去除账号复用等问题。

?

双因素认证，增强账号安全

可提供集中认证管理，并自带双因素认证（硬件token，APP令牌等），支持按需配置不同的认证登录方式，加强设备登录安全，避免定期修改密码的重复性劳动。

?

细粒度设备权限管理

可提供统一的授权管理，增大网络设备的使用安全性。支持对不同用户/用户组（部门） /角色/设备划分细粒度权限，具体到用户的命令权限，包括设备命令权限等级以及特定命令/命令集的权限，实现场景化的三级授权机制。

按角色授权：

?

三级授权-命令权限：

?

结构化操作审计日志

包括认证日志、授权日志及审计日志，模块化报表可快速追溯用户、终端、设备、操作命令及操作结果，实现实时审计与故障跟踪。

?

不合规操作策略设置及实时预警

基于设置不同的规则，通过与邮件、短信网关对接，实现风险操作实时预警，缩短响应时间，最大程度阻拦风险事件发生。

配置风险操作邮件提醒：