关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

为了无线网络安全,目录即服务和 RADIUS 认证必不可少!

发布时间:2022-06-23 10:02:27

IT 企业对信息安全的重视使得网络审查成为了一种常态。系统管理员和 IT 负责人都清楚认识到无线网络的安全漏洞常常作为攻击媒介被不法分子利用,但即便如此人们也不想再回到有线网络办公时代。因此,虽然无线网络是 IT 环境的一大进步,但其也可能存在安全风险,如 WPA2 协议中的漏洞。为此,不少 IT 人员想知道是否有一个能支持 RADIUS 认证的 Active Directory as a Service solution(AD 即服务方案)。

为便于理解将从两个层面进行讨论。第一层是管理员保护无线网络基础设施的最佳实践。第二层是如何将无线网络基础设施安全托管到云服务上。

企业通常使用共享的 SSID 和密码来保护无线网络。其实这种方法既不安全又不高效。不妨设想一下,如果 SSID 或密码很复杂,员工很有可能会定期写下密码和他人共享,这就导致进入公司场所的任何人都有机会查看 SSID 或密码。还有一种情况,由于无线网络信号在办公室以外的地点也能接收,所以只要获得了 SSID 或密码,甚至不需要在办公室就能访问企业网络。

除了安全性低之外,使用 SSID 或密码还会导致办公效率降低。员工每次入/离职都必须轮换密码,这就增加了管理员的负担,也损害了终端用户的办公体验。

要解决无线网络的这一安全问题,最好的办法是对访问网络的用户进行唯一性认证。这样既消除了共享密码,又避免了员工离职后的密码重置。

唯一性认证一般通过在本地设置 RADIUS 服务器为网络访问建立唯一凭证。对于服务器、客户端软件以及跨多个服务器的集成需求,是个相当痛苦的过程。另一个问题是RADIUS 服务器在运行后变得难以管理。为此,需要仔细研究第二层问题:如何将网络基础设施安全托管到云上,例如基于云的 RADIUS 认证。

集成 RADIUS 认证的 AD 即服务是否可行?

Active Directory 作为核心身份提供程序(IdP)主要用于连接用户与IT资源,AD 也使用了 Windows NPS 提供 RADIUS 认证服务。但 Windows NPS 配置和运维复杂,兼容性差,不少IT管理员尽量避免部署这类 RADIUS 服务。

随着企业的IT基础设施均往云端迁移,IT管理员也需要能提供云RADIUS认证的目录服务。因此,庞大笨重的 Active Directory 越来越无法满足现代 IT 企业的需求。而云托管解决方案正成为一种替代选项,也就是包含 RADIUS 认证的云身份(IdP),这种方案被称为 RADIUS as a Service(云RADIUS,也称为 RADIUS 即服务)。

当然,可能有人会问,难道微软的 Azure Active Directory (AAD)作为 SaaS 不能帮企业解决这一需求么?是的,Azure Active Directory 仅仅是对 Active Directory 的补充,并没有云的RADIUS认证能力,不能看作是真正的云目录服务。


虽然 AD、AAD 都未能兼顾云 RADIUS 认证,但宁盾身份目录即服务(DaaS)可以为企业保障无线网络安全。宁盾 DaaS 可作为核心身份提供程序,内置基于云的 RADIUS 认证功能。以宁盾 MeConnect 人+端一体化身份方案和 NingDS 身份目录云为例,两者都是 DaaS 技术路线的产品,前者针对私有化部署,后者针对公有云客户,无论选择哪一种部署方式,用户都可以轻松享受两款产品内置的 RADIUS 认证功能带来的安全优势,也不会增加管理员的负担,兼顾安全性和可用性。

更令企业客户青睐的是,宁盾身份目录即服务 DaaS 还能拓展到网络之外的场景。用于访问无线网络的相同凭证还可用于验证Linux、Mac 和 Windows 系统、亚马逊 AWS 和谷歌 GCP 等云计算平台的本地和远程服务器、基于 LDAP 和 SAML 协议的应用程序以及虚拟和物理文件存储。宁盾 DaaS 方案不仅提高了无线网络安全性,更为整个 IT 基础设施提供保障。


/template/Home/Zdy/PC/Static