零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.3.10
{{sendMatomoQuery("零信任访问控制系统aTrust","认证策略")}}

认证策略

更新时间:2024-01-09

管理员配置好认证服务器和对应的用户目录源,此时系统会根据用户目录的相关信息,自动在[业务管理/认证管理/认证策略]创建一个对应用户目录的默认认证策略,认证策略针对的是用户目录内所有的用户,用户登录将默认使用默认策略进行登录,管理员可针对不同用户目录的不同用户/组织架构新建认证策略。

认证策略可针对用户实现,用户登录使用终端认证、二次认证、特定条件免二次认证和一键上线、增强认证等,一下根据本地用户目录策略进行举例,分别实现用户登录使用终端认证、二次认证、特定条件免二次认证和一键上线、增强认证策略。

 

二次认证

二次认证可实现在用户进行首次认证(账号密码认证、证书认证、票据认证)之后,再次进行认证以验证用户身份的可靠性,aTrust支持的二次认证方式有:短信认证、TOTP令牌认证、Radius动态令牌认证、证书认证、https令牌认证。

以下通过TOTP动态令牌认证作为二次认证举例说明二次认证配置过程,具体配置如下:

步骤1. 管理员已配置好TOTP动态令牌认证服务器(具体配置可参考5.2.13 TOTP动态令牌认证),进入[业务管理/认证管理/认证策略]选择本地用户目录,点击<默认策略>对所有用户进行认证策略配置或<新增>选择指定的用户进行认证策略配置,本次举例选择编辑默认策略,对用户目录里的所有用户进行策略配置。

步骤2. 进入认证策略配置界面,在PC/WEB端认证和移动端认证-认证方式的二次认证,开启TOTP动态令牌为二次认证,点击<保存>完成认证策略的配置。

步骤3. 效果验证,用户登录输入账号密码后,还必须使用TOTP动态令牌进行验证。

 

自适应认证

aTrust开启二次认证后,用户易用性上会存在减弱,配置自适应可在二次认证基础上,进一步提升登录安全及认证体验。典型使用模式是:在发现异常风险如异常时间段登录时进行增强认证(提升安全)、在符合安全要求的终端上免除二次认证或允许一键登录(提升体验)。

 

免二次认证

aTrust平台支持用户在授信终端、特定的网络区域和指定Windows域登录时,实现免二次认证。我们已经在“5.2.2.2二次认证”,完成了认证策略中的二次认证配置,此时我们可基于上述的操作,完成免二次认证的配置。

我们以用户在授信终端下可免二次认证为案例说明免二次认证配置过程,具体配置如下:

步骤1. 配置授信终端条件时,管理员进入[安全中心/安全基线/扩展条件]点击<新增>配置用户终端在什么网络环境下,可设置为授信终端。

步骤2. [业务管理/认证管理/认证策略]编辑用户认证策略进入认证策略配置页面,在[自适应认证/免二次认证]处可点击[授信终端设置]进入授信终端配置页面,也可以直接在[业务管理/终端管理/授信终端列表/授信终端设置]进入授信终端配置页面。

启用授信终端功能,并设置用户在研发网络时可以自助绑定授信终端

点击<保存>完成授信终端的配置。

 

步骤3. 在免二次认证处,勾选<使用授信终端登录时>,点击<保存>完成配置。

 

步骤4. 用户首次登录,会进行用户名认证和二次认证,登录成功后,提示是否进行授信终端的绑定,点击<信任终端>,即可绑定该终端为授信终端。

步骤5. 绑定授信终端后,用户重新登陆,授信终端的用户登录,可实现免二次认证,无需再输入TOTP令牌进行认证,直接登陆成功。

 

一键上线

aTrust平台支持用户在授信终端、特定的网络区域和指定Windows域登录时,可以保存认证票据,在下次登陆时可以不用做任何认证直接一键上线成功。配置过程与<5.2.2.3.1免二次认证>基本一致,不再赘述具体配置。

功能效果说明:

  1. 登录成功后保留认证票据,默认30天内有效。每次登录成功、访问应用均将更新认证票据有效期。

2.一键正常使用场景:

开启一键上线功能后,符合条件的客户端退出时会提示是否保留账号信息。

勾选保留账号信息,点击确定退出后,下次点开客户端即可自动登陆。

 

用户正常登陆,客户端开启开机自启动功能,用户下班时直接关机,下次开机可实现aTrust客户端开机自动上线。

 

 

   

 

 

 

 

 

 

 

 

 

3.一键上线在以下场景下失效:

 

用户在客户端主动注销,不会保留认证信息,无法一键上线;

退出客户端时不勾选保存账号信息,则下次登陆也无法一键上线

用户一键上线触发上线准入策略验证不通过,用户被强制下线;

管理员在【监控中心/用户监控/在线用户列表】注销用户;

 用户因超过【业务管理/策略管理/用户策略】中的【同时在线设备上限】限制导致被注销;

一键上线仅针对客户端生效,纯web登录无效。

增强认证 

客户配置了二次认证和豁免认证后,考虑到第三方的用户存在弱密码、异常时间段和异地登录是属于不安全的登录,此时想要进行增强认证,严控客户的终端环境。

步骤1. 在完成二次认证和一键上线后,进入认证策略配置界面,在自适应认证里面配置增强证条件,点击<保存>完成配置。

步骤2. 完成上述配置后,用户登录环境下,满足了增强认证条件,会被强制要求做增强认证。

 

 

注意事项

  1. 默认认证策略针对的是用户目录里面的所有用户,当有新增认证策略,选择的适用用户将以最新的策略为准,登录将执行新增的认证策略条件。
  2. 增强认证条件的弱密码针对的是第三方认证服务器的用户登录密码。
  3. 增强认证的异常时间段是全局配置,即安全基线的判断条件异常时间段是根据这设定的时间做判定。
  4. 当用户登录的环境,同时满足豁免规则(即免二次认证和一键上线)和增强认证的条件,用户登录时除主认证(账号密码或扫码)后,还需进行一次增强认证的。