在任何法规遵从性工作中,IT管理员都需要向审计人员证明企业网络的安全性。为此,许多管理员采用RADIUS(远程认证拨入用户服务)协议,该协议要求所有用户在网络认证中使用唯一的身份凭证。
虽然RADIUS认证可以有效地保护网络安全,但是仍然需要跟踪认证日志进行网络审计。为了充分证明企业网络的安全性和合规性,管理员需要一个可以与RADIUS身份验证相关联的日志记录方案。
1.RADIUS认证有助于企业网络合规性。在这些需要监控的资源中,网络是核心部分之一。毕竟,获得网络访问权后,用户可以访问各种授权的工具和数据。为了实现合规性,管理员需要证明企业的网络是安全可控的,每个访问者的访问都会被跟踪记录。
这就是RADIUS身份验证发挥作用的地方。RADIUS认证服务器可以同步企业的本地目录服务或身份源(IdP)数据,并要求每个用户在访问网络时提供唯一的标识。管理员还可以使用RADIUS身份验证来控制对虚拟专用网络(VPN)的访问,并自动将流量划分到不同的虚拟局域网(VLAN)中。RADIUS认证后,用户只有通过认证成为已知实体,才能访问核心网和相关资源。从合规性来看,RADIUS满足几个关键要求,配合RADIUS的测井工具,更有效。
2.半径测井工具RADIUS的登录方式有很多种,采用哪种取决于RADIUS协议的实现。
1)自由半径
FreeRADIUS是一个开源的RADIUS服务,为已部署服务器硬件的用户提供免费的RADIUS认证功能,但对技术配置有一定要求。在配置过程中,管理员会创建一个文件夹来存储服务器日志,查看日志事件时只需要查询该文件夹。
出于法规遵从性目的,这些原始日志数据需要在提交给审计人员进行后续分析或可视化之前进行处理。此外,由于故障转移需要多台服务器,每台服务器需要单独提取数据,并且有许多合规性待办事项,这种单调的任务会增加管理员的工作量。另外,日志数据需要处理成一个日志会话,方便完整的跟踪每个用户。
2)Windows网络策略服务器(NPS)
WindowsServer的RADIUS代理服务器可以集成到本地身份源Microsoft ActiveDirectory中。不同的管理员可以使用相同的工具来控制网络访问和管理环境中的大多数资源。其中,Windows网络策略服务器(NPS)相当于Windows系统的保护伞,支持管理员通过Windows事件查看器访问相关日志。
然而,由于WindowsServer版本过时或业务中需要云,一些企业需要实施新的RADIUS认证服务。这类企业有哪些选择?
3)云RADIUS认证+云身份目录服务
RADIUS认证云服务不仅具有RADIUS认证服务器的安全优势,而且不需要运维物理服务器。此外,将RADIUS即服务(SaaS RADIUS)和云身份目录服务NingDS结合后,可以通过目录服务中的日志模块记录RADIUS服务器和其他终端的事件日志(登录日志和操作日志)。日志模块是NingDS云身份目录提供的高级服务,清晰记录网络访问事件的数据,包括:
用户访问登录日志
管理员操作日志
RADIUS,LDAP,SAML终端
Windows、Mac和Linux系统
NingDS中用户身份、组和访问权限的变化
企业可以在NingDS平台中直接查看相应的日志,导出为Excel或CSV文件进行审计追踪,并通过API将数据导出到分析工具中。借助NingDS,不仅可以利用云半径认证能力,还支持在线日志查看,既满足了企业的合规要求,又方便了管理者,一举两得。
