在任何法規遵從性工作中,IT管理員都需要向審計人員證明企業網絡的安全性。為此,許多管理員采用RADIUS(遠程認證撥入用戶服務)協議,該協議要求所有用戶在網絡認證中使用唯一的身份憑證。
雖然RADIUS認證可以有效地保護網絡安全,但是仍然需要跟蹤認證日志進行網絡審計。為了充分證明企業網絡的安全性和合規性,管理員需要一個可以與RADIUS身份驗證相關聯的日志記錄方案。
1.RADIUS認證有助于企業網絡合規性。在這些需要監控的資源中,網絡是核心部分之一。畢竟,獲得網絡訪問權后,用戶可以訪問各種授權的工具和數據。為了實現合規性,管理員需要證明企業的網絡是安全可控的,每個訪問者的訪問都會被跟蹤記錄。
這就是RADIUS身份驗證發揮作用的地方。RADIUS認證服務器可以同步企業的本地目錄服務或身份源(IdP)數據,并要求每個用戶在訪問網絡時提供唯一的標識。管理員還可以使用RADIUS身份驗證來控制對虛擬專用網絡(VPN)的訪問,并自動將流量劃分到不同的虛擬局域網(VLAN)中。RADIUS認證后,用戶只有通過認證成為已知實體,才能訪問核心網和相關資源。從合規性來看,RADIUS滿足幾個關鍵要求,配合RADIUS的測井工具,更有效。
2.半徑測井工具RADIUS的登錄方式有很多種,采用哪種取決于RADIUS協議的實現。
1)自由半徑
FreeRADIUS是一個開源的RADIUS服務,為已部署服務器硬件的用戶提供免費的RADIUS認證功能,但對技術配置有一定要求。在配置過程中,管理員會創建一個文件夾來存儲服務器日志,查看日志事件時只需要查詢該文件夾。
出于法規遵從性目的,這些原始日志數據需要在提交給審計人員進行后續分析或可視化之前進行處理。此外,由于故障轉移需要多臺服務器,每臺服務器需要單獨提取數據,并且有許多合規性待辦事項,這種單調的任務會增加管理員的工作量。另外,日志數據需要處理成一個日志會話,方便完整的跟蹤每個用戶。
2)Windows網絡策略服務器(NPS)
WindowsServer的RADIUS代理服務器可以集成到本地身份源Microsoft ActiveDirectory中。不同的管理員可以使用相同的工具來控制網絡訪問和管理環境中的大多數資源。其中,Windows網絡策略服務器(NPS)相當于Windows系統的保護傘,支持管理員通過Windows事件查看器訪問相關日志。
然而,由于WindowsServer版本過時或業務中需要云,一些企業需要實施新的RADIUS認證服務。這類企業有哪些選擇?
3)云RADIUS認證+云身份目錄服務
RADIUS認證云服務不僅具有RADIUS認證服務器的安全優勢,而且不需要運維物理服務器。此外,將RADIUS即服務(SaaS RADIUS)和云身份目錄服務NingDS結合后,可以通過目錄服務中的日志模塊記錄RADIUS服務器和其他終端的事件日志(登錄日志和操作日志)。日志模塊是NingDS云身份目錄提供的高級服務,清晰記錄網絡訪問事件的數據,包括:
用戶訪問登錄日志
管理員操作日志
RADIUS,LDAP,SAML終端
Windows、Mac和Linux系統
NingDS中用戶身份、組和訪問權限的變化
企業可以在NingDS平臺中直接查看相應的日志,導出為Excel或CSV文件進行審計追蹤,并通過API將數據導出到分析工具中。借助NingDS,不僅可以利用云半徑認證能力,還支持在線日志查看,既滿足了企業的合規要求,又方便了管理者,一舉兩得。