【云目录】——探索下一代Active Directory

导语
Lead

Active Directory（以下简称AD），是目前企业内网中最广泛应用的身份管理解决方案。随着全民云计算时代的到来，基于Windows的本地化AD在许多应用场景中遇到挑战，云目录作为新的身份管理方案，不仅可以填补AD无法覆盖的场景，在容灾系统等方面也具备优势。并且云目录可以与AD搭配使用，保障企业内网与业务的安全运作。

1 AD是什么

在讲活动目录（Active Directory）之前，我们需要先理解在计算机逻辑中目录（directory）的概念。
手机通讯录内记录的姓名、电话、地址和邮件等数据，称为 telephone directory（电话目录）；
计算机中的文件系统（file system）内记录着文件的文件名、大小与日期等数据，称为 file directory（文件目录）。

如果这些目录内的数据由系统加以整理，用户就能够方便迅速的找到所需的数据，即为目录服务（directory service）所提供的内容。
举个例子，吃饭时，饭店的菜单是一种目录；上网时，百度和谷歌提供的搜索功能是一种目录服务。了解完这些，就可以引申出Active Directory（活动目录）的概念。
活动目录是基于Windows应用于办公内网的目录服务，使用活动目录，IT管理员可以批量管理企业的设备、身份、网络、应用等等。同时相较于通讯录、菜单等简单目录，活动目录的数据范围要大得多。那么，活动目录如何实现管理功能的呢？
简单来说，Active Directory 域内有个 directory database（目录数据库），专门用来来存储用户账户、计算机账户、打印机和共享文件夹等对象，而提供目录服务的组件就是活动目录域服务（Active Directory Domain Service，AD DS），它负责目录数据库的存储、添加、删除、修改与查询等操作。
AD也为我们提供了方便的管理功能，主要包括：
①服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。
②用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。
③资源管理：管理打印机、文件共享服务等网络资源。
④桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
⑤应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。
正由于AD这些强大的功能，使得他成为全球大多数企业最广泛使用的网络基础设施，如今，全球超过 90% 的企业（以及 95% 的财富 1000强企业）使用 Active Directory 进行身份管理。

Active Directory的适用场景是基于Windows的本地IT环境。AD在实际应用中有以下优势：加强对 Windows 资源的管理控制；提高用户和管理员的效率；更安全的 Windows 系统、网络和数据；可靠而全面的审计与合规报告。

2 AD不适用场景

在过往的20多年里，AD都是企业内网管理中至关重要且无法代替的部分。但随着越来越多的组织转向云、利用Web应用程序，Macos、Linux、国产操作系统等进入办公场景，AD已经越来越无法满足高速发展的企业IT架构变化。
结合企业IT架构的发展现状，我们总结AD目前在以下几个场景中存在局限性与不适用性：
1.云端场景。AD 是 Windows Server 的一部分，是一套典型的组织内部部署的系统，也就是平时说的 on-premises 解决方案，并且对网络拓扑结构和安全模型都有要求，不容易用来支撑来自互联网的外部应用。
随着计算逐渐移到云端，企业 SaaS 应用的发展，验证方式和协议的完全 HTTP 化，AD已经越来越不能满足云端需求。
2.多端环境。据NetMarketShare发布的桌面操作系统报告，桌面端的Windows系统比率已经降到90%以内，虽然仍具统治地位，但在企业办公中，运行多个非 Windows 和 SaaS 应用程序的混合操作系统环境（即 Windows、Mac 和 Linux）并不少见。AD在这样的场景下无法起到高效的管理作用。
3.信创市场。根据国内信创领域首本《中国信创产业发展白皮书（2021）》显示，2021年中国信创产业市场规模将达到3000亿元，未来三年市场总规模将达到万亿元。但AD是微软的Windows管理组件，对于国产系统无法提供支持。简而言之，信创的操作系统需要信创的目录服务。
4.AD仍然是横向移动的重灾区。AD在Windows下通过域控管理企业内网域内计算机，但企业内网中计算机存在聚集性，以及内网中一些集权管理设备储存有大量身份凭证信息及关键数据，使得企业内网更容易成为攻击者的目标。因此，AD在安全性方面也必须要有所提升。
AD在过去是IT管理者的不二选择，而如今，Web 应用程序流行，IT 环境由单一演变为包括 Windows、Mac 和 Linux等不同系统设备共存的混合环境，远程和混合工作成为许多人的新常态，云基础设施技术（例如亚马逊的AWS）成为流行趋势。
因此，企业IT基础设施建设需要探索新的身份管理方案，中安网星在持续打磨本地化AD方案——“智域安全管家”的基础上，结合国内IT基础设施的现状，融合“云目录”技术理念与架构，探索出一套独有的解决方案与落地场景。

3 云目录—下一代Active  Directory

3.1 云目录是什么

“云目录”，是以身份为核心，提供设备、网络、存储和应用等IT资源设施的统一访问平台，可以将云目录视为诞生于云时代的下一代AD。
想象一下，如果你作为公司的IT管理员，日常使用AD架构管理成百上千台设备。然而在如今的办公场景下，为了满足访问不同的web应用需求，需要引入SSO；公司增加了苹果设备，又需要引入MDM；如此一来，为满足内网需求，需要的人手越来越多，需要的管理工具也越来越多。“云目录”所要解决的就是在类似场景下的IT管理、运维及安全防护问题，一个平台覆盖所有场景。

3.2 云目录体系适配多场景

云目录实现集终端无密码、多端管控、信创支持、云端应用管理于一体的新目录体系。
1.终端无密码。无密码体系是以身份认证作为唯一控制点，放弃密码这个不安全且低效的工具，改为使用更契合互联网环境的多因素认证模式，比如核实身份信息方可连接。根据Verizon发布的《2020年数据泄露调查报告》显示，超过80%的数据泄露都是黑客利用被盗密码或弱密码导致，可以说，密码是网络安全领域最薄弱的环节。云目录的架构有效地改善了这个安全风险，无密码体系让口令问题成为过去式，就安全性方面，实时认证的风险远低于固定密码。
2.多端管控。在云目录平台环境下，所有的联网设备在后台都能实现统一管理，Mac电脑、安卓手机、Linux设备，都可以通过后台推送的形式下发策略。使用云目录平台时，系统的差异不会影响到对设备的管控。
3.信创支持。我们知道，AD是基于Windows的一套标准方案，非Windows平台无法使用。而云目录平台可以给信创提供完整的目录服务，从而实现所有的AD功能。众多的信创如果分别开发目录服务，一是成本高，二是无法通用，但云目录可以直接用一个平台连接，从而实现管控。
4.云端应用管理。云目录为云端应用提供通用协议接口，将云端应用接入后，提供统一的云用户账号管理功能,包括自助服务、统一门户、用户管理、组织机构管理、操作审计日志、用户账号集中管控功能。
5.安全性提升。无密码提升了安全性，同时，云目录是登录云平台操作的，云平台不是域内的一台设备，因此域管登录不会在本地设备留下域管凭证，减少了被攻击者通过横向移动的方式获取到内网的重要数据。
以上，刚好对应了AD的不适用场景，云目录对这些场景实现了全覆盖，高效快捷、无感切换；在企业应用发展的进程中，云目录服务的价值会凸显出来，对云服务和SaaS提供商带来战略层面的意义。

3.3  云目录的延伸

云目录除了兼容AD，补充AD的缺失场景外，还具备了其他优势，比如：
1.如果一家企业，完全没有Windows系统的产品，要实现类似AD的功能，就会有诸多限制。比如mac不能单独使用AD，必要用AD时，至少也要有一台安装了Windows Server 2008以上版本的服务器。而使用云目录在这种情况下可以完全替代AD实现功能，甚至可以不需要服务器与机房。
2.云目录具备高可用性。云目录支持公有云和私有云部署，也支持与本地AD协同。将本地AD备份到云目录平台，如果本地服务器停机或者维护时，使用云目录就能防止内网环境中断，自动从破坏性安全事故中恢复，将停机时间降至最低，从而保障业务稳定运行。

目前，微软的Azure AD、谷歌的G Suite Directory Service、亚马逊的AWS Directory Service和jumpcloud等产品都在目录服务领域做出了重要布局，但对于云目录体系而言，距离真正的业务全覆盖还有很长的路要走。我们相信在云计算时代，“云目录”将成为未来企业IT基础设施中唯一的统一身份认证连接点。