一、面临挑战
堡垒机可以为企业实现服务器、网络设备、数据库、安全设备等的集中管控和安全可靠运行,帮助IT运维人员提高工作效率。堡垒机内部保存着企业所有的设备资产和权限关系,是企业内部信息安全的重要一环。
在单一的静态密码验证机制下,登录密码是堡垒机安全的唯一防线。一旦被非合法用户窃听到堡垒机的登录密码,就意味着这个人能使用该密码来获取企业服务器、网络设备的登录权限,给企业内部安全带来巨大威胁。对此,企业将如何应对?
在堡垒机登录环节实现双因素认证,可双重保障账号安全,防止密码共享、密码泄露,一旦发生安全事件,也可追责到个人,有效控制企业信息安全威胁,因此不失为一种良策。
二、解决方案
1. 时讯堡垒机双因素认证解决方案概述
静态密码只能对堡垒机用户身份的真实性进行低级认证。时讯双因素认证在企业堡垒机原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。
时讯双因素认证服务器负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管堡垒机帐号的静态密码认证工作。通过在堡垒机配置第三方RADIUS认证,指向时讯双因素认证服务器(内置RADIUS SERVER)。员工打开堡垒机进行用户名+静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,通过之后方可放行。
2. 时讯动态密码形式
短信令牌
基于短信发送动态密码的形式。在用户完成堡垒机帐号密码认证之后,时讯双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上,用户输入该短信密码并提交验证通过后才能完成登录认证。密码是一次性使用的,他人即使盗用了,也无法再次使用,从而能保证账号和信息的安全。
手机令牌
基于时间的动态密码,由手机APP生成。基于时间同步技术,时讯令牌APP每60秒随机生成一个独一无二的动态验证码,时讯认证服务器能够验证这个变化的密码是否有效。
硬件令牌
基于时间的动态密码,由硬件生成。硬件令牌每60秒产生一个6位随机密码,使用寿命3年。需要IT运维人员为堡垒机用户分发一枚时讯硬件令牌,用户登录时输入静态密码+硬件令牌上显示的动态密码,验证通过即可完成登录。
3. 堡垒机双因素认证流程
下图分别为齐治科技和帕拉迪堡垒机的时讯双因素认证登录界面,皆采用单步认证方式,一并完成静态密码和动态密码的认证过程。
用户打开堡垒机登录界面后,需在密码框中依次输入堡垒机静态登录密码+时讯动态密码,然后提交认证,认证通过,成功登录堡垒机。
三、方案价值
①账号双重保护:时讯双因素认证在堡垒机原有账号密码认证基础之上增加一层动态密码认证,以此提升堡垒机用户接入认证安全,解决弱身份鉴别可能引发的内网信息泄漏隐患;
②多种认证方式:短信令牌、手机令牌、硬件令牌,三种动态密码形式各有优势,客户根据需求自由选择,也可以多种组合;
③与现有系统无缝集成:内置Radius认证模块,可与AD、LDAP等标准账号源结合,同时也支持与企业本地应用、私有云应用以及SAAS等的对接,提供堡垒机的双因素认证服务;
④实名追溯:详尽的登录日志,发生安全事件时可定位到个人,做到用户认证可审计,满足了等保要求;
⑤品牌兼容性:支持几乎所有主流品牌堡垒机,包括绿盟、启明星辰、江南科友、齐治科技、帕拉迪、思福迪等;
⑥体验优化:通过简化移动安全接入,优化用户体验,在为用户登录堡垒机提供安全认证的同时,提升了使用的便捷性,助力企业移动化转型。
