導(dǎo)語 Lead

Active Directory（以下簡稱AD），是目前企業(yè)內(nèi)網(wǎng)中最廣泛應(yīng)用的身份管理解決方案。隨著全民云計算時代的到來，基于Windows的本地化AD在許多應(yīng)用場景中遇到挑戰(zhàn)，云目錄作為新的身份管理方案，不僅可以填補(bǔ)AD無法覆蓋的場景，在容災(zāi)系統(tǒng)等方面也具備優(yōu)勢。并且云目錄可以與AD搭配使用，保障企業(yè)內(nèi)網(wǎng)與業(yè)務(wù)的安全運(yùn)作。

1 AD是什么

在講活動目錄（Active Directory）之前，我們需要先理解在計算機(jī)邏輯中目錄（directory）的概念。
手機(jī)通訊錄內(nèi)記錄的姓名、電話、地址和郵件等數(shù)據(jù)，稱為 telephone directory（電話目錄）；
計算機(jī)中的文件系統(tǒng)（file system）內(nèi)記錄著文件的文件名、大小與日期等數(shù)據(jù)，稱為 file directory（文件目錄）。

如果這些目錄內(nèi)的數(shù)據(jù)由系統(tǒng)加以整理，用戶就能夠方便迅速的找到所需的數(shù)據(jù)，即為目錄服務(wù)（directory service）所提供的內(nèi)容。
舉個例子，吃飯時，飯店的菜單是一種目錄；上網(wǎng)時，百度和谷歌提供的搜索功能是一種目錄服務(wù)。了解完這些，就可以引申出Active Directory（活動目錄）的概念。
活動目錄是基于Windows應(yīng)用于辦公內(nèi)網(wǎng)的目錄服務(wù)，使用活動目錄，IT管理員可以批量管理企業(yè)的設(shè)備、身份、網(wǎng)絡(luò)、應(yīng)用等等。同時相較于通訊錄、菜單等簡單目錄，活動目錄的數(shù)據(jù)范圍要大得多。那么，活動目錄如何實(shí)現(xiàn)管理功能的呢？
簡單來說，Active Directory 域內(nèi)有個 directory database（目錄數(shù)據(jù)庫），專門用來來存儲用戶賬戶、計算機(jī)賬戶、打印機(jī)和共享文件夾等對象，而提供目錄服務(wù)的組件就是活動目錄域服務(wù)（Active Directory Domain Service，AD DS），它負(fù)責(zé)目錄數(shù)據(jù)庫的存儲、添加、刪除、修改與查詢等操作。
AD也為我們提供了方便的管理功能，主要包括：
①服務(wù)器及客戶端計算機(jī)管理：管理服務(wù)器及客戶端計算機(jī)賬戶，所有服務(wù)器及客戶端計算機(jī)加入域管理并實(shí)施組策略。
②用戶服務(wù)：管理用戶域賬戶、用戶信息、企業(yè)通訊錄（與電子郵件系統(tǒng)集成）、用戶組管理、用戶身份認(rèn)證、用戶授權(quán)管理等，按省實(shí)施組管理策略。
③資源管理：管理打印機(jī)、文件共享服務(wù)等網(wǎng)絡(luò)資源。
④桌面配置：系統(tǒng)管理員可以集中的配置各種桌面配置策略，如：用戶使用域中資源權(quán)限限制、界面功能的限制、應(yīng)用程序執(zhí)行特征限制、網(wǎng)絡(luò)連接限制、安全配置限制等。
⑤應(yīng)用系統(tǒng)支撐：支持財務(wù)、人事、電子郵件、企業(yè)信息門戶、辦公自動化、補(bǔ)丁管理、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)。
正由于AD這些強(qiáng)大的功能，使得他成為全球大多數(shù)企業(yè)最廣泛使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，如今，全球超過 90% 的企業(yè)（以及 95% 的財富 1000強(qiáng)企業(yè)）使用 Active Directory 進(jìn)行身份管理。

Active Directory的適用場景是基于Windows的本地IT環(huán)境。AD在實(shí)際應(yīng)用中有以下優(yōu)勢：加強(qiáng)對 Windows 資源的管理控制；提高用戶和管理員的效率；更安全的 Windows 系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)；可靠而全面的審計與合規(guī)報告。

?

2 AD不適用場景

在過往的20多年里，AD都是企業(yè)內(nèi)網(wǎng)管理中至關(guān)重要且無法代替的部分。但隨著越來越多的組織轉(zhuǎn)向云、利用Web應(yīng)用程序，Macos、Linux、國產(chǎn)操作系統(tǒng)等進(jìn)入辦公場景，AD已經(jīng)越來越無法滿足高速發(fā)展的企業(yè)IT架構(gòu)變化。
結(jié)合企業(yè)IT架構(gòu)的發(fā)展現(xiàn)狀，我們總結(jié)AD目前在以下幾個場景中存在局限性與不適用性：
1.云端場景。AD 是 Windows Server 的一部分，是一套典型的組織內(nèi)部部署的系統(tǒng)，也就是平時說的 on-premises 解決方案，并且對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和安全模型都有要求，不容易用來支撐來自互聯(lián)網(wǎng)的外部應(yīng)用。
隨著計算逐漸移到云端，企業(yè) SaaS 應(yīng)用的發(fā)展，驗(yàn)證方式和協(xié)議的完全 HTTP 化，AD已經(jīng)越來越不能滿足云端需求。
2.多端環(huán)境。據(jù)NetMarketShare發(fā)布的桌面操作系統(tǒng)報告，桌面端的Windows系統(tǒng)比率已經(jīng)降到90%以內(nèi)，雖然仍具統(tǒng)治地位，但在企業(yè)辦公中，運(yùn)行多個非 Windows 和 SaaS 應(yīng)用程序的混合操作系統(tǒng)環(huán)境（即 Windows、Mac 和 Linux）并不少見。AD在這樣的場景下無法起到高效的管理作用。
3.信創(chuàng)市場。根據(jù)國內(nèi)信創(chuàng)領(lǐng)域首本《中國信創(chuàng)產(chǎn)業(yè)發(fā)展白皮書（2021）》顯示，2021年中國信創(chuàng)產(chǎn)業(yè)市場規(guī)模將達(dá)到3000億元，未來三年市場總規(guī)模將達(dá)到萬億元。但AD是微軟的Windows管理組件，對于國產(chǎn)系統(tǒng)無法提供支持。簡而言之，信創(chuàng)的操作系統(tǒng)需要信創(chuàng)的目錄服務(wù)。
4.AD仍然是橫向移動的重災(zāi)區(qū)。AD在Windows下通過域控管理企業(yè)內(nèi)網(wǎng)域內(nèi)計算機(jī)，但企業(yè)內(nèi)網(wǎng)中計算機(jī)存在聚集性，以及內(nèi)網(wǎng)中一些集權(quán)管理設(shè)備儲存有大量身份憑證信息及關(guān)鍵數(shù)據(jù)，使得企業(yè)內(nèi)網(wǎng)更容易成為攻擊者的目標(biāo)。因此，AD在安全性方面也必須要有所提升。
AD在過去是IT管理者的不二選擇，而如今，Web 應(yīng)用程序流行，IT 環(huán)境由單一演變?yōu)榘?Windows、Mac 和 Linux等不同系統(tǒng)設(shè)備共存的混合環(huán)境，遠(yuǎn)程和混合工作成為許多人的新常態(tài)，云基礎(chǔ)設(shè)施技術(shù)（例如亞馬遜的AWS）成為流行趨勢。
因此，企業(yè)IT基礎(chǔ)設(shè)施建設(shè)需要探索新的身份管理方案，中安網(wǎng)星在持續(xù)打磨本地化AD方案——“智域安全管家”的基礎(chǔ)上，結(jié)合國內(nèi)IT基礎(chǔ)設(shè)施的現(xiàn)狀，融合“云目錄”技術(shù)理念與架構(gòu)，探索出一套獨(dú)有的解決方案與落地場景。

?

3 云目錄—下一代Active Directory

3.1 云目錄是什么

“云目錄”，是以身份為核心，提供設(shè)備、網(wǎng)絡(luò)、存儲和應(yīng)用等IT資源設(shè)施的統(tǒng)一訪問平臺，可以將云目錄視為誕生于云時代的下一代AD。
想象一下，如果你作為公司的IT管理員，日常使用AD架構(gòu)管理成百上千臺設(shè)備。然而在如今的辦公場景下，為了滿足訪問不同的web應(yīng)用需求，需要引入SSO；公司增加了蘋果設(shè)備，又需要引入MDM；如此一來，為滿足內(nèi)網(wǎng)需求，需要的人手越來越多，需要的管理工具也越來越多。“云目錄”所要解決的就是在類似場景下的IT管理、運(yùn)維及安全防護(hù)問題，一個平臺覆蓋所有場景。

3.2 云目錄體系適配多場景

云目錄實(shí)現(xiàn)集終端無密碼、多端管控、信創(chuàng)支持、云端應(yīng)用管理于一體的新目錄體系。
1.終端無密碼。無密碼體系是以身份認(rèn)證作為唯一控制點(diǎn)，放棄密碼這個不安全且低效的工具，改為使用更契合互聯(lián)網(wǎng)環(huán)境的多因素認(rèn)證模式，比如核實(shí)身份信息方可連接。根據(jù)Verizon發(fā)布的《2020年數(shù)據(jù)泄露調(diào)查報告》顯示，超過80%的數(shù)據(jù)泄露都是黑客利用被盜密碼或弱密碼導(dǎo)致，可以說，密碼是網(wǎng)絡(luò)安全領(lǐng)域最薄弱的環(huán)節(jié)。云目錄的架構(gòu)有效地改善了這個安全風(fēng)險，無密碼體系讓口令問題成為過去式，就安全性方面，實(shí)時認(rèn)證的風(fēng)險遠(yuǎn)低于固定密碼。
2.多端管控。在云目錄平臺環(huán)境下，所有的聯(lián)網(wǎng)設(shè)備在后臺都能實(shí)現(xiàn)統(tǒng)一管理，Mac電腦、安卓手機(jī)、Linux設(shè)備，都可以通過后臺推送的形式下發(fā)策略。使用云目錄平臺時，系統(tǒng)的差異不會影響到對設(shè)備的管控。
3.信創(chuàng)支持。我們知道，AD是基于Windows的一套標(biāo)準(zhǔn)方案，非Windows平臺無法使用。而云目錄平臺可以給信創(chuàng)提供完整的目錄服務(wù)，從而實(shí)現(xiàn)所有的AD功能。眾多的信創(chuàng)如果分別開發(fā)目錄服務(wù)，一是成本高，二是無法通用，但云目錄可以直接用一個平臺連接，從而實(shí)現(xiàn)管控。
4.云端應(yīng)用管理。云目錄為云端應(yīng)用提供通用協(xié)議接口，將云端應(yīng)用接入后，提供統(tǒng)一的云用戶賬號管理功能,包括自助服務(wù)、統(tǒng)一門戶、用戶管理、組織機(jī)構(gòu)管理、操作審計日志、用戶賬號集中管控功能。
5.安全性提升。無密碼提升了安全性，同時，云目錄是登錄云平臺操作的，云平臺不是域內(nèi)的一臺設(shè)備，因此域管登錄不會在本地設(shè)備留下域管憑證，減少了被攻擊者通過橫向移動的方式獲取到內(nèi)網(wǎng)的重要數(shù)據(jù)。
以上，剛好對應(yīng)了AD的不適用場景，云目錄對這些場景實(shí)現(xiàn)了全覆蓋，高效快捷、無感切換；在企業(yè)應(yīng)用發(fā)展的進(jìn)程中，云目錄服務(wù)的價值會凸顯出來，對云服務(wù)和SaaS提供商帶來戰(zhàn)略層面的意義。

3.3 云目錄的延伸

云目錄除了兼容AD，補(bǔ)充AD的缺失場景外，還具備了其他優(yōu)勢，比如：
1.如果一家企業(yè)，完全沒有Windows系統(tǒng)的產(chǎn)品，要實(shí)現(xiàn)類似AD的功能，就會有諸多限制。比如mac不能單獨(dú)使用AD，必要用AD時，至少也要有一臺安裝了Windows Server 2008以上版本的服務(wù)器。而使用云目錄在這種情況下可以完全替代AD實(shí)現(xiàn)功能，甚至可以不需要服務(wù)器與機(jī)房。
2.云目錄具備高可用性。云目錄支持公有云和私有云部署，也支持與本地AD協(xié)同。將本地AD備份到云目錄平臺，如果本地服務(wù)器停機(jī)或者維護(hù)時，使用云目錄就能防止內(nèi)網(wǎng)環(huán)境中斷，自動從破壞性安全事故中恢復(fù)，將停機(jī)時間降至最低，從而保障業(yè)務(wù)穩(wěn)定運(yùn)行。

?

總結(jié)

目前，微軟的Azure AD、谷歌的G Suite Directory Service、亞馬遜的AWS Directory Service和jumpcloud等產(chǎn)品都在目錄服務(wù)領(lǐng)域做出了重要布局，但對于云目錄體系而言，距離真正的業(yè)務(wù)全覆蓋還有很長的路要走。我們相信在云計算時代，“云目錄”將成為未來企業(yè)IT基礎(chǔ)設(shè)施中唯一的統(tǒng)一身份認(rèn)證連接點(diǎn)。