【雲目錄】——探索下一代Active Directory

導語Lead

Active Directory（以下簡稱AD），是目前企業內網中最廣泛應用的身份管理解決方案。隨著全民雲端計算時代的到來，基於Windows的本地化AD在許多應用場景中遇到挑戰，雲目錄作為新的身份管理方案，不僅可以填補AD無法覆蓋的場景，在容災系統等方面也具備優勢。並且雲目錄可以與AD搭配使用，保障企業內網與業務的安全運作。

1 AD是什麼

在講活動目錄（Active Directory）之前，我們需要先理解在計算機邏輯中目錄（directory）的概念。手機通訊錄內記錄的姓名、電話、地址和郵件等資料，稱為 telephone directory（電話目錄）；計算機中的檔案系統（file system）內記錄著檔案的檔名、大小與日期等資料，稱為 file directory（檔案目錄）。

如果這些目錄內的資料由系統加以整理，使用者就能夠方便迅速的找到所需的資料，即為目錄服務（directory service）所提供的內容。舉個例子，吃飯時，飯店的選單是一種目錄；上網時，百度和谷歌提供的搜尋功能是一種目錄服務。瞭解完這些，就可以引申出Active Directory（活動目錄）的概念。活動目錄是基於Windows應用於辦公內網的目錄服務，使用活動目錄，IT管理員可以批次管理企業的裝置、身份、網路、應用等等。同時相較於通訊錄、選單等簡單目錄，活動目錄的資料範圍要大得多。那麼，活動目錄如何實現管理功能的呢？簡單來說，Active Directory 域內有個 directory database（目錄資料庫），專門用來來儲存使用者賬戶、計算機賬戶、印表機和共享資料夾等物件，而提供目錄服務的元件就是活動目錄域服務（Active Directory Domain Service，AD DS），它負責目錄資料庫的儲存、新增、刪除、修改與查詢等操作。AD也為我們提供了方便的管理功能，主要包括：伺服器及客戶端計算機管理：管理伺服器及客戶端計算機賬戶，所有伺服器及客戶端計算機加入域管理並實施組策略。使用者服務：管理使用者域賬戶、使用者資訊、企業通訊錄（與電子郵件系統整合）、使用者組管理、使用者身份認證、使用者授權管理等，按省實施組管理策略。資源管理：管理印表機、檔案共享服務等網路資源。桌面配置：系統管理員可以集中的配置各種桌面配置策略，如：使用者使用域中資源許可權限制、介面功能的限制、應用程式執行特徵限制、網路連線限制、安全配置限制等。應用系統支撐：支援財務、人事、電子郵件、企業資訊門戶、辦公自動化、補丁管理、防病毒系統等各種應用系統。正由於AD這些強大的功能，使得他成為全球大多數企業最廣泛使用的網路基礎設施，如今，全球超過 90% 的企業（以及 95% 的財富 1000強企業）使用 Active Directory 進行身份管理。

Active Directory的適用場景是基於Windows的本地IT環境。AD在實際應用中有以下優勢：加強對 Windows 資源的管理控制；提高使用者和管理員的效率；更安全的 Windows 系統、網路和資料；可靠而全面的審計與合規報告。

2 AD不適用場景

在過往的20多年裡，AD都是企業內網管理中至關重要且無法代替的部分。但隨著越來越多的組織轉向雲、利用Web應用程式，Macos、Linux、國產作業系統等進入辦公場景，AD已經越來越無法滿足高速發展的企業IT架構變化。

結合企業IT架構的發展現狀，我們總結AD目前在以下幾個場景中存在侷限性與不適用性：1.雲端場景。AD 是 Windows Server 的一部分，是一套典型的組織內部部署的系統，也就是平時說的 on-premises 解決方案，並且對網路拓撲結構和安全模型都有要求，不容易用來支撐來自網際網路的外部應用。隨著計算逐漸移到雲端，企業 SaaS 應用的發展，驗證方式和協議的完全 HTTP 化，AD已經越來越不能滿足雲端需求。2.多端環境。據NetMarketShare釋出的桌面作業系統報告，桌面端的Windows系統比率已經降到90%以內，雖然仍具統治地位，但在企業辦公中，執行多個非 Windows 和 SaaS 應用程式的混合作業系統環境（即 Windows、Mac 和 Linux）並不少見。AD在這樣的場景下無法起到高效的管理作用。3.信創市場。根據國內信創領域首本《中國信創產業發展白皮書（2021）》顯示，2021年中國信創產業市場規模將達到3000億元，未來三年市場總規模將達到萬億元。但AD是微軟的Windows管理元件，對於國產系統無法提供支援。簡而言之，信創的作業系統需要信創的目錄服務。4.AD仍然是橫向移動的重災區。AD在Windows下透過域控管理企業內網域內計算機，但企業內網中計算機存在聚集性，以及內網中一些集權管理裝置儲存有大量身份憑證資訊及關鍵資料，使得企業內網更容易成為攻擊者的目標。因此，AD在安全性方面也必須要有所提升。AD在過去是IT管理者的不二選擇，而如今，Web 應用程式流行，IT 環境由單一演變為包括 Windows、Mac 和 Linux等不同系統裝置共存的混合環境，遠端和混合工作成為許多人的新常態，雲基礎設施技術（例如亞馬遜的AWS）成為流行趨勢。因此，企業IT基礎設施建設需要探索新的身份管理方案，中安網星在持續打磨本地化AD方案——“智域安全管家”的基礎上，結合國內IT基礎設施的現狀，融合“雲目錄”技術理念與架構，探索出一套獨有的解決方案與落地場景。

3 雲目錄—下一代Active Directory

3.1 雲目錄是什麼

“雲目錄”，是以身份為核心，提供裝置、網路、儲存和應用等IT資源設施的統一訪問平臺，可以將雲目錄視為誕生於雲時代的下一代AD。

想象一下，如果你作為公司的IT管理員，日常使用AD架構管理成百上千臺裝置。然而在如今的辦公場景下，為了滿足訪問不同的web應用需求，需要引入SSO；公司增加了蘋果裝置，又需要引入MDM；如此一來，為滿足內網需求，需要的人手越來越多，需要的管理工具也越來越多。“雲目錄”所要解決的就是在類似場景下的IT管理、運維及安全防護問題，一個平臺覆蓋所有場景。

3.2 雲目錄體系適配多場景

雲目錄實現集終端無密碼、多端管控、信創支援、雲端應用管理於一體的新目錄體系。1.終端無密碼。無密碼體系是以身份認證作為唯一控制點，放棄密碼這個不安全且低效的工具，改為使用更契合網際網路環境的多因素認證模式，比如核實身份資訊方可連線。根據Verizon釋出的《2020年資料洩露調查報告》顯示，超過80%的資料洩露都是駭客利用被盜密碼或弱密碼導致，可以說，密碼是網路安全領域最薄弱的環節。雲目錄的架構有效地改善了這個安全風險，無密碼體系讓口令問題成為過去式，就安全性方面，實時認證的風險遠低於固定密碼。2.多端管控。在雲目錄平臺環境下，所有的聯網裝置在後臺都能實現統一管理，Mac電腦、安卓手機、Linux裝置，都可以透過後臺推送的形式下發策略。使用雲目錄平臺時，系統的差異不會影響到對裝置的管控。3.信創支援。我們知道，AD是基於Windows的一套標準方案，非Windows平臺無法使用。而云目錄平臺可以給信創提供完整的目錄服務，從而實現所有的AD功能。眾多的信創如果分別開發目錄服務，一是成本高，二是無法通用，但云目錄可以直接用一個平臺連線，從而實現管控。4.雲端應用管理。雲目錄為雲端應用提供通用協議介面，將雲端應用接入後，提供統一的雲使用者賬號管理功能,包括自助服務、統一門戶、使用者管理、組織機構管理、操作審計日誌、使用者賬號集中管控功能。5.安全性提升。無密碼提升了安全性，同時，雲目錄是登入雲平臺操作的，雲平臺不是域內的一臺裝置，因此域管登入不會在本地裝置留下域管憑證，減少了被攻擊者透過橫向移動的方式獲取到內網的重要資料。以上，剛好對應了AD的不適用場景，雲目錄對這些場景實現了全覆蓋，高效快捷、無感切換；在企業應用發展的程式中，雲目錄服務的價值會凸顯出來，對雲服務和SaaS提供商帶來戰略層面的意義。

3.3 雲目錄的延伸

雲目錄除了相容AD，補充AD的缺失場景外，還具備了其他優勢，比如：1.如果一家企業，完全沒有Windows系統的產品，要實現類似AD的功能，就會有諸多限制。比如mac不能單獨使用AD，必要用AD時，至少也要有一臺安裝了Windows Server 2008以上版本的伺服器。而使用雲目錄在這種情況下可以完全替代AD實現功能，甚至可以不需要伺服器與機房。2.雲目錄具備高可用性。雲目錄支援公有云和私有云部署，也支援與本地AD協同。將本地AD備份到雲目錄平臺，如果本地伺服器停機或者維護時，使用雲目錄就能防止內網環境中斷，自動從破壞性安全事故中恢復，將停機時間降至最低，從而保障業務穩定執行。

總結

目前，微軟的Azure AD、谷歌的G Suite Directory Service、亞馬遜的AWS Directory Service和jumpcloud等產品都在目錄服務領域做出了重要佈局，但對於雲目錄體系而言，距離真正的業務全覆蓋還有很長的路要走。我們相信在雲端計算時代，“雲目錄”將成為未來企業IT基礎設施中唯一的統一身份認證連線點。

END

文案 | 排版 viga稽核 | Lee

掃碼關注我們獲取雲目錄最新訊息