技術分享

[產品介紹] HPE XUA產品支援MFA認證機制

作者簡歷

作者擁有22年IT服務資歷，現職凌群電腦NSK服務總處總處長，主要負責台灣證券交易所交易系統與維運系統、NonStop系統維運服務、軟體產品整合服務。專長為HPE NonStop系統、系統整合、系統網路監控管理及專案管理。

前言

近年來駭客、網軍攻擊事件日趨嚴重，各組織或個人的資安防護層級要求也更廣且更深，各產業的資訊安全規範也要求更完整與嚴謹的資訊安全防護機制；NonStop具備完整的資訊安全產品與解決方案，可有效的保障各企業組織的資訊安全，依據美國國家標準暨技術研究院(National Institute of Standards and Technology，NIST)的National Vulnerability Database的統計結果，NonStop一直是全世界最安全的系統之一。

HPE合作夥伴XYPRO，專注於NonStop資訊安全產品與解決方案，其XYGATE產品，可幫助客戶很容易的符合PCI DSS (Payment Card Industry Data Security Standard，支付卡產業資料安全標準)資安規範的需求；在PCI DSS 3.2規範中，除了對SSL/TLS的傳輸加密規範外，多因子認證(Multi-Factor Authentication，MFA)也是一個重點，XYGATE中的XUA模組，可容易的建置NonStop的MFA認證機制。

Multi-Factor Authentication (MFA)

針對MFA的需求，系統上所有non-console的特權存取，都必須採用Multi-Factor Authentication，認證方式須包含兩個或多個因子，例如：

• Something you know (例如：密碼)



• Something you have (例如：token)



• Something you are (例如：指紋)

當使用MFA認證機制時，並非系統上所有userid均需要採用MFA，可依據企業組織資安規範來分類；但建議下列具備特定管理權限的userid (含alias)必須要採用MFA認證：

• 全部super group userid



• Security administrator userid



• Application/Data owner userid



• Application builder userid



• Data replication owner userid



• Netbatch administrator userid



• 具備修改系統/子系統/應用系統的啟動、設定檔或程式碼的userid



• 任何可經由XYGATE Access Control (XAC)、SECOM、CSP Passport等工具，取得上述userid權限的userid (含alias)

雖然可直接在NonStop端的user認證建立MFA機制，但下列方式也被認可為可接受的MFA機制，但仍應依據各產業或企業組織的規範和政策來決定建置MFA機制的方式：

• 在網路層進行MFA認證，例如建立VPN連線前，先進行MFA認證。



• 使用跳板機進行MFA認證，例如採用VMware VDI (虛擬桌面)、Citrix server時進行MFA認證。



• 採用Single Sign-On (SSO)機制，在初始登入時採用MFA認證。

XYGATE User Authentication (XUA)與MFA

XYGATE User Authentication (XUA)在NonStop X系列已列為OS標準產品，部分NonStop NB系列的OS也包含此產品。

• XUA支援多種認證機制並與NonStop整合，包含Active Directory (AD)、LDAP、RADIUS與RSA SecurID；目前HPE/XYPRO有整合並經過認證的為RSA SecurID，其餘機制須自行整合。



• XUA使用Safeguard SEEP，所以Safeguard必須在啟動狀態下才能使用MFA認證。



• 可同時與NonStop SSH的認證機制無縫接軌使用。

XYGATE User Authentication (XUA)與RSA SecurID

XUA具備整合RSA Authentication server功能，可進行userid/alias的認證：

• 設定為MFA認證機制的userid，登入認證時需要輸入密碼和SecurID token所顯示的pin碼。



• 可設定那些userid/alias強制使用MFA認證機制，那些userid/alias仍使用一般認證機制(非MFA認證機制)。



• NonStop System Console (NSC)上的登入不使用MFA機制。



• 採用一般認證機制且具備特殊權限的共用userid，必須要採取兩階段登入，例如先採用MFA機制登入個別的userid，再登入super group userid；此方式可明確區分共用userid的責任歸屬。



• XUA整合RSA SecurID的主要設定步驟如下描述：
  
  • 準備RSA SecurID authentication server與NonStop server整合。
  
  
  • 評估RSA SecurID端設定。
  
  
  • NonStop端執行XUA_RSA_INSTALL macro，準備XUA與RSA Authentication Manager的連接。
  
  
  • 編輯UACONF file中的RSA相關設定。
  
  
  • 編輯UAACL file建立RSA authentication與mapping。
  
  
  • 測試RSA configuration與XUA interface到RSA Authentication Manager與user name mapping。

XYGATE User Authentication (XUA)與Radius

XUA具備整合Radius server功能，可進行userid/alias的認證：

• XUA新增Remote Authentication Dial-In User Service (RADIUS) interface，可將Radius納入登入NonStop server的認證機制。



• XUA與RADIUS proxy透過TCP/IP連線進行資訊傳遞，XUA為client端，RADIUS proxy為server端，XUA負責啟動連線到proxy，proxy負責listen XUA過來的connection。



• XUA可以設定是否同時需要RADIUS密碼與NonStop密碼，或是僅要RADIUS密碼就可登入。



• XUA可以設定NonStop server上所有userid均須採用RADIUS認證，或是限制部分的userid採用RADIUS認證。



• XUA整合RADIUS Interface的主要設定步驟如下描述：
  
  • 準備NonStop server與RADIUS整合。
  
  
  • 評估RADIUS設定。
  
  
  • NonStop端執行XUA_RADIUS_INSTALL macro，準備XUA與RADIUS server的連接。
  
  
  • 編輯UAACL file建立RADIUS authentication與mapping。
  
  
  • 測試XUA interface到RADIUS server與user name mapping。

應用系統userid與MFA整合方式

應用系統層的MFA認證機制可同樣透過Safeguard與XUA來進行設定與建置：

• 若應用系統使用USER_AUTHENTICATE_來認證其user，USER_AUTHENTICATE_ 會自動使用XUA功能，XUA會進行MFA認證。



• 若應用系統使用自己的userid與密碼，會需要額外的工作；可採取調整應用系統userid登入認證機制，呼叫USER_AUTHENTICATE_ 來使用XUA功能，進行MFA認證。

附註：XUA產品是由HPE的partner XYPRO公司所開發的產品

參考資料

1.Greg Swedosh,“PCI DSS 3.2 and How You Can Achieve That on your NonStop Environment”, Knightcraft Technology
2.Knightcraft Technology ,PCI DSS Compliance for HPE NonStop Servers PCI DSS Version 3.2, September 2017
3.Rob Lesan,"Getting the most from XYGATE Merged Audit and User Authentication", 2019 NonStop TBC
4.Manual: Guardian Procedure Call Reference Manual
5.Manual: XYGATER User Authentication (XUA) 2.25