-
-
[原创]【云目录】——探索下一代Active Directory
-
发表于: 2021-11-19 15:50 6541
-
图片
导语
Lead
Active Directory(以下简称AD),是目前企业内网中最广泛应用的身份管理解决方案。随着全民云计算时代的到来,基于Windows的本地化AD在许多应用场景中遇到挑战,云目录作为新的身份管理方案,不仅可以填补AD无法覆盖的场景,在容灾系统等方面也具备优势。并且云目录可以与AD搭配使用,保障企业内网与业务的安全运作。
图片
图片
1 AD是什么
图片
在讲活动目录(Active Directory)之前,我们需要先理解在计算机逻辑中目录(directory)的概念。
手机通讯录内记录的姓名、电话、地址和邮件等数据,称为 telephone directory(电话目录);
计算机中的文件系统(file system)内记录着文件的文件名、大小与日期等数据,称为 file directory(文件目录)。
图片
如果这些目录内的数据由系统加以整理,用户就能够方便迅速的找到所需的数据,即为目录服务(directory service)所提供的内容。
举个例子,吃饭时,饭店的菜单是一种目录;上网时,百度和谷歌提供的搜索功能是一种目录服务。了解完这些,就可以引申出Active Directory(活动目录)的概念。
活动目录是基于Windows应用于办公内网的目录服务,使用活动目录,IT管理员可以批量管理企业的设备、身份、网络、应用等等。同时相较于通讯录、菜单等简单目录,活动目录的数据范围要大得多。那么,活动目录如何实现管理功能的呢?
简单来说,Active Directory 域内有个 directory database(目录数据库),专门用来来存储用户账户、计算机账户、打印机和共享文件夹等对象,而提供目录服务的组件就是活动目录域服务(Active Directory Domain Service,AD DS),它负责目录数据库的存储、添加、删除、修改与查询等操作。
AD也为我们提供了方便的管理功能,主要包括:
①服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。
②用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。
③资源管理:管理打印机、文件共享服务等网络资源。
④桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
⑤应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。
正由于AD这些强大的功能,使得他成为全球大多数企业最广泛使用的网络基础设施,如今,全球超过 90% 的企业(以及 95% 的财富 1000强企业)使用 Active Directory 进行身份管理。
图片
Active Directory的适用场景是基于Windows的本地IT环境。AD在实际应用中有以下优势:加强对 Windows 资源的管理控制;提高用户和管理员的效率;更安全的 Windows 系统、网络和数据;可靠而全面的审计与合规报告。
图片
2 AD不适用场景
图片
在过往的20多年里,AD都是企业内网管理中至关重要且无法代替的部分。但随着越来越多的组织转向云、利用Web应用程序,Macos、Linux、国产操作系统等进入办公场景,AD已经越来越无法满足高速发展的企业IT架构变化。
结合企业IT架构的发展现状,我们总结AD目前在以下几个场景中存在局限性与不适用性:
1.云端场景。AD 是 Windows Server 的一部分,是一套典型的组织内部部署的系统,也就是平时说的 on-premises 解决方案,并且对网络拓扑结构和安全模型都有要求,不容易用来支撑来自互联网的外部应用。
随着计算逐渐移到云端,企业 SaaS 应用的发展,验证方式和协议的完全 HTTP 化,AD已经越来越不能满足云端需求。
2.多端环境。据NetMarketShare发布的桌面操作系统报告,桌面端的Windows系统比率已经降到90%以内,虽然仍具统治地位,但在企业办公中,运行多个非 Windows 和 SaaS 应用程序的混合操作系统环境(即 Windows、Mac 和 Linux)并不少见。AD在这样的场景下无法起到高效的管理作用。
3.信创市场。根据国内信创领域首本《中国信创产业发展白皮书(2021)》显示,2021年中国信创产业市场规模将达到3000亿元,未来三年市场总规模将达到万亿元。但AD是微软的Windows管理组件,对于国产系统无法提供支持。简而言之,信创的操作系统需要信创的目录服务。
4.AD仍然是横向移动的重灾区。AD在Windows下通过域控管理企业内网域内计算机,但企业内网中计算机存在聚集性,以及内网中一些集权管理设备储存有大量身份凭证信息及关键数据,使得企业内网更容易成为攻击者的目标。因此,AD在安全性方面也必须要有所提升。
AD在过去是IT管理者的不二选择,而如今,Web 应用程序流行,IT 环境由单一演变为包括 Windows、Mac 和 Linux等不同系统设备共存的混合环境,远程和混合工作成为许多人的新常态,云基础设施技术(例如亚马逊的AWS)成为流行趋势。
因此,企业IT基础设施建设需要探索新的身份管理方案,中安网星在持续打磨本地化AD方案——“智域安全管家”的基础上,结合国内IT基础设施的现状,融合“云目录”技术理念与架构,探索出一套独有的解决方案与落地场景。
图片
3 云目录—下一代Active Directory
图片
3.1 云目录是什么
“云目录”,是以身份为核心,提供设备、网络、存储和应用等IT资源设施的统一访问平台,可以将云目录视为诞生于云时代的下一代AD。
想象一下,如果你作为公司的IT管理员,日常使用AD架构管理成百上千台设备。然而在如今的办公场景下,为了满足访问不同的web应用需求,需要引入SSO;公司增加了苹果设备,又需要引入MDM;如此一来,为满足内网需求,需要的人手越来越多,需要的管理工具也越来越多。“云目录”所要解决的就是在类似场景下的IT管理、运维及安全防护问题,一个平台覆盖所有场景。
图片
3.2 云目录体系适配多场景
云目录实现集终端无密码、多端管控、信创支持、云端应用管理于一体的新目录体系。
1.终端无密码。无密码体系是以身份认证作为唯一控制点,放弃密码这个不安全且低效的工具,改为使用更契合互联网环境的多因素认证模式,比如核实身份信息方可连接。根据Verizon发布的《2020年数据泄露调查报告》显示,超过80%的数据泄露都是黑客利用被盗密码或弱密码导致,可以说,密码是网络安全领域最薄弱的环节。云目录的架构有效地改善了这个安全风险,无密码体系让口令问题成为过去式,就安全性方面,实时认证的风险远低于固定密码。
2.多端管控。在云目录平台环境下,所有的联网设备在后台都能实现统一管理,Mac电脑、安卓手机、Linux设备,都可以通过后台推送的形式下发策略。使用云目录平台时,系统的差异不会影响到对设备的管控。
3.信创支持。我们知道,AD是基于Windows的一套标准方案,非Windows平台无法使用。而云目录平台可以给信创提供完整的目录服务,从而实现所有的AD功能。众多的信创如果分别开发目录服务,一是成本高,二是无法通用,但云目录可以直接用一个平台连接,从而实现管控。
4.云端应用管理。云目录为云端应用提供通用协议接口,将云端应用接入后,提供统一的云用户账号管理功能,包括自助服务、统一门户、用户管理、组织机构管理、操作审计日志、用户账号集中管控功能。
5.安全性提升。无密码提升了安全性,同时,云目录是登录云平台操作的,云平台不是域内的一台设备,因此域管登录不会在本地设备留下域管凭证,减少了被攻击者通过横向移动的方式获取到内网的重要数据。
以上,刚好对应了AD的不适用场景,云目录对这些场景实现了全覆盖,高效快捷、无感切换;在企业应用发展的进程中,云目录服务的价值会凸显出来,对云服务和SaaS提供商带来战略层面的意义。
3.3 云目录的延伸
云目录除了兼容AD,补充AD的缺失场景外,还具备了其他优势,比如:
1.如果一家企业,完全没有Windows系统的产品,要实现类似AD的功能,就会有诸多限制。比如mac不能单独使用AD,必要用AD时,至少也要有一台安装了Windows Server 2008以上版本的服务器。而使用云目录在这种情况下可以完全替代AD实现功能,甚至可以不需要服务器与机房。
2.云目录具备高可用性。云目录支持公有云和私有云部署,也支持与本地AD协同。将本地AD备份到云目录平台,如果本地服务器停机或者维护时,使用云目录就能防止内网环境中断,自动从破坏性安全事故中恢复,将停机时间降至最低,从而保障业务稳定运行。
图片
总结
图片
图片
目前,微软的Azure AD、谷歌的G Suite Directory Service、亚马逊的AWS Directory Service和jumpcloud等产品都在目录服务领域做出了重要布局,但对于云目录体系而言,距离真正的业务全覆盖还有很长的路要走。我们相信在云计算时代,“云目录”将成为未来企业IT基础设施中唯一的统一身份认证连接点。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)