IT 企业对信息安全的高度重视,使得网络审查成为一种常态。系统管理员和 IT 负责人非常清楚,存在安全风险的无线网络经常被犯罪分子用作载体,例如 WPA2 协议中的。所以很多IT人员都想知道是否有 Active Directory 即服务的解决方案可以支持 RADIUS 认证服务。
为了便于理解,本文将从两个层面进行讨论。第一层是管理员保护无线网络基础设施的有效措施。第二层是将无线网络基础设施安全托管到云服务的方法。
1. 保护无线网络安全
企业通常使用共享的 SSID 和密码来保护无线网络。其实这种方法既不安全又不高效。不妨设想一下,如果 SSID 或密码很复杂,员工很有可能会定期写下密码和他人共享,这就导致进入公司场所的任何人都有机会查看 SSID 或密码。还有一种情况,由于无线网络信号在办公室以外的地点也能接收,所以只要获得了 SSID 或密码,甚至不需要在办公室就能访问企业网络。
除了安全性低之外,使用 SSID 或密码还会导致办公效率降低。员工每次入/离职都必须轮换密码,这就增加了管理员的负担,也损害了终端用户的办公体验。
要解决无线网络的这一安全问题,最好的办法是对访问网络的用户进行唯一性认证。这样既消除了共享密码,又避免了员工离职后的密码重置。
唯一性认证一般通过在本地设置 RADIUS 服务器为网络访问建立唯一凭证。对于服务器、客户端软件以及跨多个服务器的集成需求,是个相当痛苦的过程。另一个问题是RADIUS 服务器在运行后变得难以管理。为此,需要仔细研究第二层问题:如何将网络基础设施安全托管到云上,例如基于云的 RADIUS 认证。
2. 集成 RADIUS 认证的 AD 即服务是否可行?
Active Directory 作为核心身份提供程序(IdP)主要用于连接用户与IT 资源,AD 也使用了 Windows NPS 提供 RADIUS 认证服务。但 Windows NPS 配置和运维复杂,兼容性差,不少 IT 管理员尽量避免部署这类 RADIUS 服务。
随着企业的 IT 基础设施均往云端迁移,IT 管理员也需要能提供云 RADIUS 认证的目录服务。因此,庞大笨重的 Active Directory 越来越无法满足现代 IT 企业的需求。而云托管解决方案正成为一种替代选项,也就是包含 RADIUS 认证的云身份(IdP),这种方案被称为 RADIUS as a Service(云 RADIUS,也称为 RADIUS 即服务)。
当然,可能有人会问,难道微软的 Azure Active Directory (AAD)作为 SaaS 不能帮企业解决这一需求么?是的,Azure Active Directory 仅仅是对 Active Directory 的补充,并没有云的RADIUS认证能力,不能看作是真正的云目录服务。
3. 强强联合:支持云 RADIUS 认证能力的身份目录即服务 DaaS
虽然 AD、AAD 都未能兼顾云 RADIUS 认证,但身份目录即服务(DaaS)可以为企业保障无线网络安全。DaaS 可作为核心身份提供程序,内置基于云的 RADIUS 认证功能,兼顾安全性和可用性。
此外,DaaS 还能拓展到网络之外的场景,用于访问无线网络的相同凭证还可用于验证 Linux、Mac 和 Windows 系统、亚马逊 AWS 和谷歌 GCP 等云计算平台的本地和远程服务器、基于 LDAP 和 SAML 协议的应用程序以及虚拟和物理文件存储。