在任何合规工作中,IT 管理员都需要向审计员证明企业网络的安全性。为此,不少管理员都采用 RADIUS (远程身份验证拨入用户服务)协议,要求所有用户在网络认证中使用唯一的身份凭证。
虽然 RADIUS 认证能有效保护网络安全,但仍需要跟踪认证日志以便进行网络审计。而为了充分证明企业网络的安全合规,管理员需要一个可以和 RADIUS 认证关联的日志记录方案。
1. RADIUS 认证助力企业网络合规
不同的行业机构对于合规性要求也不同,但通常都会关注对机密数据的访问授权问题。除了这类主要的安全功能外,大多数法规还会要求企业记录、监控 IT 资源的访问事件作为合规依据。
在这些需要监控的资源中,网络是核心部分之一。毕竟,用户获得网络的访问权限后就能访问授权使用的各种工具和数据。为了实现合规性,管理员需要证明企业的网络是安全受控的,并且每个访问者的准入情况都会被跟踪记录。
这就是 RADIUS 认证发挥作用的地方。RADIUS 认证服务器可以同步企业的本地目录服务或身份源(IdP)数据,要求每个用户在访问网络时提供唯一的标识。管理员还可以使用 RADIUS 认证来控制对虚拟专用网络 (VPN) 的访问,自动将流量分段到不同的虚拟局域网 (VLAN)。 采用 RADIUS认证后,用户只有通过认证成为已知实体才能访问核心网络及相关资源。从合规性的角度来看,RADIUS 满足了多个关键要求,加上 RADIUS 的日志记录工具后更是事半功倍。
2. RADIUS 日志记录工具
RADIUS 的日志记录有多种方法,具体采用哪种取决于 RADIUS 协议的实现方式。
1)FreeRADIUS
FreeRADIUS 是一种开源 RADIUS 服务,为已经部署服务器硬件的用户提供免费的 RADIUS 认证功能,但对于技术配置有一定要求。在配置过程中,管理员会专门创建文件夹用来存储服务器日志,需要查看日志事件时查询文件夹即可。
出于合规目的,这些原始的日志数据导出后还需要一定处理才能交付给审计人员,用于后续的分析或可视化。此外,由于故障转移需要多台服务器,每台服务器都需要单独提取数据,合规性待办事项一多,这项单调的任务就会增加管理员的工作负担。此外,日志数据还需要加工成日志会话,方便完整跟踪每个用户。
2)Windows 网络策略服务器 (NPS)
Windows Server 自带的 RADIUS 代理服务器可集成到微软 Active Directory 这一本地身份源,不同的管理员可以使用同一个工具进行网络准入控制,管理环境中的大部分资源。其中Windows 网络策略服务器(NPS) 相当于 Windows 系统的保护伞,支持管理员通过 Windows 事件查看器访问相关日志。
但也有一些企业由于 Windows Server 版本过旧或业务上云的需求,需要实施新的 RADIUS 认证服务。对于这类企业有哪些可用的选择呢?
3)云 RADIUS 认证+云身份目录服务
RADIUS 认证云服务既具备 RADIUS 认证服务器的安全优势,又无需对物理服务器进行运维。此外,结合 RADIUS 即服务(SaaS 化的 RADIUS)与云身份目录服务 NingDS 后还能通过目录服务中的日志模块记录 RADIUS 服务器及其他终端的事件日志(登录日志、操作日志)。 日志模块是 DaaS 云身份目录提供的一项高级服务,清晰记录网络准入事件的数据,包括:
-
用户接入登录日志
-
管理员操作日志
-
RADIUS、LDAP、SAML 终端
-
Windows、Mac 和 Linux 系统
-
NingDS 中用户身份、组和访问权限的更改
企业可以直接在 DaaS 平台中查看相应日志,可以导出为 Excel 或 CSV 文件用于审计跟踪,也可通过 API 将数据导出到分析工具。借助 DaaS 不仅可以利用云 RADIUS 认证能力,还支持在线日志查看,既满足企业合规要求,又方便管理人员,一举两得。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解RADIUS认证更多内容,可前往宁盾官网博客解锁更多干货)