Каким образом с точки зрения топологии, AAA и сетевой безопасности ИТ-компания или MSP могут использовать аутентификацию на оборудовании клиента с использованием собственных учетных записей ИТ-компании независимо от клиентов через решение WAN?
Пример проблемы: я ИТ-компания, управляющая 50 компаниями. Сами эти компании, безусловно, автономны и могут иметь больше автономии внутри себя. Каждая компания использует сетевую инфраструктуру ИТ-индустрии от ряда производителей (Cisco, HP, Dell Palo Alto и т. Д.). В настоящий момент ИТ-компания разделяет как минимум 2 пароля уровня 15 для каждой единицы оборудования. Пароли очень надежные, с большим количеством символов. Мы не можем объяснить, кто именно изменил системы или получил доступ к ним. Мы не хотим, чтобы сотрудники ИТ-компании делились учетными данными или делились ими с клиентами, если они их запросят.
Неуверенное решение: я считаю, что для аутентификации ИТ-компании лучше всего использовать свою учетную запись SSO или AD. Используйте его, потому что учетная запись принадлежит исключительно им. Фактическая база данных для этой аутентификации будет располагаться где-то централизованно, в штаб-квартире или DC ИТ-компании. У вас может быть сочетание таких решений, как RADIUS и TACACS + для услуг. Тогда между заказчиком и ИТ-компанией будет установлена точка-точка. Очевидно, это должно происходить через WAN. Я считаю, что наиболее экономически выгодным вариантом является доступ к Интернету или общедоступным службам аутентификации для прокси через DMZ, например, общедоступная аутентификация RADIUS и TACACS +. Мы могли открывать порты по своему выбору и разрешать только IP-адреса клиентов. Другой способ, которым я думал, был VPN для защиты соединений, но это больше туннели и управление. Затем ограничивается, если будет передаваться какая-либо информация о наших отдельных организациях, и мы будем аутентифицироваться.
Каков наиболее безопасный, управляемый и экономичный способ внедрения этого решения?