宁盾堡垒机双因素认证方案

堡垒机可以为企业实现服务器、网络设备、数据库、安全设备等的集中管控和安全可靠运行，帮助IT运维人员提高工作效率。通俗来说，就是用来控制哪些人可以登录哪些资产（事先防范和事中控制），以及录像记录登录资产后做了什么事情（事后溯源）。

由于堡垒机内部保存着企业所有的设备资产和权限关系，是企业内部信息安全的重要一环。但目前出现的以下问题产生了很大安全隐患：密码设置过于简单，容易被暴力破解；为方便记忆，设置统一的密码，一旦单点被破，极易引发全面危机。

在单一的静态密码验证机制下，登录密码是堡垒机安全的唯一防线。一旦被非合法用户窃取到堡垒机的登录密码，就意味着这个人能使用该密码来获取企业服务器、网络设备的登录权限，给企业内部安全带来巨大威胁。面对这个问题，企业又该如何应对呢？

基于场此景，在堡垒机登录环节实现双因素认证，可双重保障账号安全，防止密码共享、密码泄露，一旦发生安全事件，也可及时追责到个人，有效控制企业信息安全威胁。

01

堡垒机双因素认证方案概述

1）.静态密码只能对堡垒机用户身份的真实性进行低级认证，增加宁盾双因素认证，在企业堡垒机原有静态密码认证基础上增加第二重保护，通过提供多种动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。

2）.宁盾双因素认证服务器负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管堡垒机帐号的静态密码认证工作。通过在堡垒机配置第三方RADIUS认证，指向宁盾双因素认证服务器（内置RADIUS SERVER）。员工打开堡垒机进行用户名+静态密码认证，认证通过之后获取动态密码（令牌产生/其他接收方式），从而进行动态密码验证，通过之后方可放行；

3）.宁盾双因素认证平台有多种令牌形式供客户选择，可根据实际场景灵活配置。

图源：宁盾

02

堡垒机双因素认证流程

下图为帕拉迪堡垒机的宁盾双因素认证登录界面，采用单步认证方式，一并完成静态密码和动态密码的认证过程。

用户打开堡垒机登录界面后，需在密码框中依次输入堡垒机静态登录密码+宁盾动态密码（以手机令牌为例），然后提交认证，认证通过，成功登录堡垒机。

图源：宁盾

03

方案价值

01  账号双重保护：宁盾双因素认证在堡垒机原有账号密码认证基础之上增加一层动态密码认证，以此提升堡垒机用户接入认证安全，解决弱身份鉴别可能引发的内网信息泄漏隐患；

02  多种认证方式：手机令牌、邮件令牌、短信令牌、硬件令牌、H5令牌等多种动态密码形式各有优势，客户根据需求自由选择，也可以多种组合；

03  与现有系统无缝集成：内置Radius认证模块，可与AD、LDAP等标准账号源结合，同时也支持与企业本地应用、私有云应用以及SAAS等的对接，提供堡垒机的双因素认证服务；

04  实名追溯：详尽的登录日志，发生安全事件时可定位到个人，做到用户认证可审计，满足了等保要求；

05  品牌兼容性：支持几乎所有主流品牌堡垒机，包括绿盟、启明星辰、安恒、江南科友、齐治科技、帕拉迪、思福迪等；

06  体验优化：通过简化移动安全接入，优化用户体验，在为用户登录堡垒机提供安全认证的同时，提升了使用的便捷性，助力企业移动化转型。

企业采用宁盾双因素认证联动堡垒机设备，不但能解决弱密码问题、提高密码的安全性，还能减少运维人员定期修改密码的工作量，节约了企业账号管理的成本，同时满足国家等保合规要求。