在大型企業(yè)從事過運(yùn)維工作的朋友想必都清楚,公司運(yùn)維混亂是非常常見的現(xiàn)象����。人數(shù)一旦多了起來�,就會出現(xiàn)多人共用一個賬號����,或者一人使用多個賬號的問題����,時(shí)間一長難免會增加賬號泄露的風(fēng)險(xiǎn),而且也會導(dǎo)致一些違規(guī)操作行為的發(fā)生���,對于公司信息安全的風(fēng)險(xiǎn)是非常大的���。因此運(yùn)維人員都深知堡壘機(jī)所帶來的特殊意義,堡壘機(jī)的使用也開始流行起來�����。那么����,堡壘機(jī)究竟是用來干嘛的?下面一起來了解一下吧���!
跳板機(jī)
1.跳板機(jī)簡介
跳板機(jī)就是一臺服務(wù)器�����,運(yùn)維人員在維護(hù)過程中首先要統(tǒng)一登錄到這臺服務(wù)器�����,然后再登錄到目標(biāo)設(shè)備進(jìn)行維護(hù)和操作���;
在騰訊,跳板機(jī)是開發(fā)者登錄到服務(wù)器的唯一途徑�,開發(fā)者必須先登錄跳板機(jī),再通過跳板機(jī)登錄到應(yīng)用服務(wù)器�。
2.跳板機(jī)的驗(yàn)證方式
作用:
證書:Certificate證書為文本格式,長度為2048bit��;是應(yīng)用登錄到機(jī)器上的唯一身份標(biāo)識���,每個用戶有且僅有一個證書�����。
固定密碼:分配LDAP賬號時(shí)��,同時(shí)也會分配一個固定密碼
動態(tài)驗(yàn)證碼(token):是一個6位數(shù)的數(shù)字串��,每個動態(tài)驗(yàn)證碼有效期3分鐘����。
3.跳板機(jī)的優(yōu)勢和不足:
優(yōu)勢:集中管理
不足:沒有實(shí)現(xiàn)對運(yùn)維人員操作行為的控制和審計(jì),使用跳板機(jī)的過程中還是會出現(xiàn)誤操作����、違規(guī)操作導(dǎo)致的事故,一旦出現(xiàn)操作事故很難快速定位到原因和責(zé)任人��。
4.運(yùn)維思想:
審計(jì)是事后行為����,可以發(fā)現(xiàn)問題及責(zé)任人,但無法防止問題發(fā)生���;
只有事先嚴(yán)格控制���,才能從源頭真正解決問題����;
系統(tǒng)賬號的作用只是區(qū)分工作角色��,但無法確認(rèn)用戶身份����;
只要是機(jī)器能做的���,就不要人去做����;
運(yùn)維堡壘機(jī)
1.堡壘機(jī)簡介
1)堡壘機(jī)的理念起于跳板機(jī)����;
2)堡壘機(jī)的功能:
集中管理是前提;
身份管理是基礎(chǔ)�����;
訪問控制是手段�����;
操作審計(jì)是保證;
自動化是目標(biāo)����。
3)堡壘機(jī)是通過切斷終端對計(jì)算機(jī)網(wǎng)絡(luò)和服務(wù)器資源的直接訪問,采用協(xié)議代理的方式接管終端計(jì)算機(jī)對網(wǎng)絡(luò)和服務(wù)器的訪問�。
2.堡壘機(jī)作用
核心系統(tǒng)運(yùn)維和安全審計(jì)管控;
過濾和攔截非法訪問����、惡意攻擊,阻斷不合法命令�,審計(jì)監(jiān)控、報(bào)警����、責(zé)任追蹤;
報(bào)警����、記錄、分析�����、處理;
3.堡壘機(jī)核心功能
1)單點(diǎn)登錄功能
支持對X11��、Linux�����、Unix�、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備��、安全設(shè)備等一系列授權(quán)賬號進(jìn)行密碼的自動化周期更改����,簡化密碼管理����,讓使用者無需記憶眾多系統(tǒng)密碼,即可實(shí)現(xiàn)自動登錄目標(biāo)設(shè)備�,便捷安全。
2)賬號管理
設(shè)備支持統(tǒng)一賬戶管理策略��,能夠?qū)崿F(xiàn)對所有服務(wù)器��、網(wǎng)路設(shè)備���、安全設(shè)備等賬號進(jìn)行集中管理�,完成對賬號整個生命周期的監(jiān)控,并且可以對設(shè)備進(jìn)行特殊角設(shè)置����,如:審計(jì)巡檢員、運(yùn)維操作員����、設(shè)備管理員等自定義,以滿足審計(jì)需求�����。
3)身份認(rèn)證
設(shè)備提供統(tǒng)一的認(rèn)證接口���,對用戶進(jìn)行認(rèn)證�,支持身份認(rèn)證模式包括動態(tài)口令���、靜態(tài)密碼�����、硬件key����、生物特征等多種認(rèn)證方式,設(shè)備具有靈活的定制接口����,可以與其他第三方認(rèn)證服務(wù)器直接結(jié)合安全的認(rèn)證模式,有效提高了認(rèn)證的安全性和可靠性�。
4)資源授權(quán)
設(shè)備提供基于用戶、目標(biāo)設(shè)備�、時(shí)間、協(xié)議類型IP�、行為等要素實(shí)現(xiàn)細(xì)粒度的操作授權(quán),最大限度保護(hù)用戶資源的安全�����。
5)訪問控制
設(shè)備支持對不同用戶進(jìn)行不同策略的制定���,細(xì)粒度的訪問控制能夠最大限度的保護(hù)用戶資源的安全,嚴(yán)防非法����、越權(quán)訪問事件的發(fā)生;
6)操作審計(jì)
設(shè)備能夠?qū)ψ址?�、圖形、文件傳輸��、數(shù)據(jù)庫等安全操作進(jìn)行行為審計(jì)��;通過設(shè)備錄像方式監(jiān)控運(yùn)維人員對操作系統(tǒng)����、安全設(shè)備、網(wǎng)絡(luò)設(shè)備�����、數(shù)據(jù)庫等進(jìn)行的各種操作�,對違規(guī)行為進(jìn)行事中控制;對終端指令信息能夠進(jìn)行精確搜索��,進(jìn)行錄像精確定位���;
4.堡壘機(jī)應(yīng)用場景
1)多個用戶使用同一賬號
多出現(xiàn)在同一工作組中�����,由于工作需要���,同時(shí)系統(tǒng)管理員賬號唯一����,因此只能多用戶共享同一賬號�����;如果發(fā)生安全事故���,不僅難以定位賬號的實(shí)際使用者和責(zé)任人�����,而且無法對賬號的使用范圍進(jìn)行有效控制��,存在較大的安全風(fēng)險(xiǎn)和隱患�����;
2)一個用戶使用多個賬號�����。
目前一個維護(hù)人員使用多個賬號時(shí)較為普遍的情況,用戶需要記憶多套口令同時(shí)在多套主機(jī)系統(tǒng)���、網(wǎng)絡(luò)設(shè)備之間切換���,降低工作效率��,增加工作復(fù)雜度�����;
3)缺少統(tǒng)一的權(quán)限管理平臺�����,難以實(shí)現(xiàn)更細(xì)粒度的命令權(quán)限控制�。
維護(hù)人員的權(quán)限大多是粗放管理��,無基于最小權(quán)限分配原則的用戶權(quán)限管理�,難以實(shí)現(xiàn)更細(xì)粒度的命令權(quán)限控制,系統(tǒng)安全性無法充分保證���;
4)無法制定統(tǒng)一的訪問審計(jì)策略�����,審計(jì)粒度粗�����。
各個網(wǎng)絡(luò)設(shè)備����、主機(jī)系統(tǒng)、數(shù)據(jù)庫是分別單獨(dú)審計(jì)記錄訪問行為��,由于沒有統(tǒng)一審計(jì)策略�����,而且各系統(tǒng)自身審計(jì)日志內(nèi)容深淺不一�,難以及時(shí)通過系統(tǒng)自身審計(jì)發(fā)現(xiàn)違規(guī)操作行為和追查取證;
5)傳統(tǒng)的網(wǎng)路安全審計(jì)系統(tǒng)無法對維護(hù)人員經(jīng)常使用的SSH�、RDP等加密、圖形操作協(xié)議進(jìn)行內(nèi)容審計(jì)�����。
5.目標(biāo)價(jià)值
1)目標(biāo)
堡壘機(jī)的核心思路是邏輯上將人與目標(biāo)設(shè)備分離�����,建立“人-〉主賬號(堡壘機(jī)用戶賬號)-〉授權(quán)—>從賬號(目標(biāo)設(shè)備賬號)的模式;在這種模式下�����,基于唯一身份標(biāo)識�����,通過集中管控安全策略的賬號管理����、授權(quán)管理和審計(jì),建立針對維護(hù)人員的“主賬號-〉登錄—〉訪問操作-〉退出”的全過程完整審計(jì)管理�����,實(shí)現(xiàn)對各種運(yùn)維加密/非加密����、圖形操作協(xié)議的命令級審計(jì)。
2)系統(tǒng)價(jià)值
堡壘機(jī)的作用主要體現(xiàn)在下述幾個方面:
企業(yè)角度
通過細(xì)粒度的安全管控策略���,保證企業(yè)的服務(wù)器��、網(wǎng)絡(luò)設(shè)備��、數(shù)據(jù)庫���、安全設(shè)備等安全可靠運(yùn)行���,降低人為安全風(fēng)險(xiǎn),避免安全損失��,保障企業(yè)效益��。
管理員角度
所有運(yùn)維賬號的管理在一個平臺上進(jìn)行管理���,賬號管理更加簡單有序���;
通過建立用戶與賬號的唯一對應(yīng)關(guān)系,確保用戶擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限�����;
直觀方便的監(jiān)控各種訪問行為����,能夠及時(shí)發(fā)現(xiàn)違規(guī)操作、權(quán)限濫用等���。
鑒于多賬號同時(shí)使用超管進(jìn)行的操作��,便于實(shí)名制的認(rèn)證和自然人的關(guān)聯(lián)�����。
普通用戶角度
運(yùn)維人員只需記憶一個賬號和口令����,一次登錄�����,便可實(shí)現(xiàn)對其所維護(hù)的多臺設(shè)備的訪問���,無須記憶多個賬號和口令���,提高了工作效率,降低工作復(fù)雜度����。
6.應(yīng)用
一種用于單點(diǎn)登陸的主機(jī)應(yīng)用系統(tǒng),目前電信��、移動、聯(lián)通三個運(yùn)營商廣泛采用堡壘機(jī)來完成單點(diǎn)登陸和薩班斯要求的審計(jì)���。
在銀行����、證券等金融業(yè)機(jī)構(gòu)也廣泛采用堡壘機(jī)來完成對財(cái)務(wù)�����、會計(jì)操作的審計(jì)�。
在電力行業(yè)的雙網(wǎng)改造項(xiàng)目后,采用堡壘機(jī)來完成雙網(wǎng)隔離之后跨網(wǎng)訪問的問題�����,能夠很好的解決雙網(wǎng)之間的訪問的安全問題�����。
