在大型企業(yè)從事過(guò)運(yùn)維工作的朋友想必都清楚�����,公司運(yùn)維混亂是非常常見(jiàn)的現(xiàn)象。人數(shù)一旦多了起來(lái)�,就會(huì)出現(xiàn)多人共用一個(gè)賬號(hào),或者一人使用多個(gè)賬號(hào)的問(wèn)題��,時(shí)間一長(zhǎng)難免會(huì)增加賬號(hào)泄露的風(fēng)險(xiǎn)���,而且也會(huì)導(dǎo)致一些違規(guī)操作行為的發(fā)生����,對(duì)于公司信息安全的風(fēng)險(xiǎn)是非常大的���。因此運(yùn)維人員都深知堡壘機(jī)所帶來(lái)的特殊意義��,堡壘機(jī)的使用也開(kāi)始流行起來(lái)����。那么����,堡壘機(jī)究竟是用來(lái)干嘛的?下面一起來(lái)了解一下吧����!
跳板機(jī)
1.跳板機(jī)簡(jiǎn)介
跳板機(jī)就是一臺(tái)服務(wù)器���,運(yùn)維人員在維護(hù)過(guò)程中首先要統(tǒng)一登錄到這臺(tái)服務(wù)器,然后再登錄到目標(biāo)設(shè)備進(jìn)行維護(hù)和操作���;
在騰訊����,跳板機(jī)是開(kāi)發(fā)者登錄到服務(wù)器的唯一途徑�,開(kāi)發(fā)者必須先登錄跳板機(jī),再通過(guò)跳板機(jī)登錄到應(yīng)用服務(wù)器���。
2.跳板機(jī)的驗(yàn)證方式
作用:
證書(shū):Certificate證書(shū)為文本格式�����,長(zhǎng)度為2048bit�;是應(yīng)用登錄到機(jī)器上的唯一身份標(biāo)識(shí),每個(gè)用戶(hù)有且僅有一個(gè)證書(shū)���。
固定密碼:分配LDAP賬號(hào)時(shí)��,同時(shí)也會(huì)分配一個(gè)固定密碼
動(dòng)態(tài)驗(yàn)證碼(token):是一個(gè)6位數(shù)的數(shù)字串��,每個(gè)動(dòng)態(tài)驗(yàn)證碼有效期3分鐘�。
3.跳板機(jī)的優(yōu)勢(shì)和不足:
優(yōu)勢(shì):集中管理
不足:沒(méi)有實(shí)現(xiàn)對(duì)運(yùn)維人員操作行為的控制和審計(jì)��,使用跳板機(jī)的過(guò)程中還是會(huì)出現(xiàn)誤操作���、違規(guī)操作導(dǎo)致的事故�����,一旦出現(xiàn)操作事故很難快速定位到原因和責(zé)任人����。
4.運(yùn)維思想:
審計(jì)是事后行為��,可以發(fā)現(xiàn)問(wèn)題及責(zé)任人����,但無(wú)法防止問(wèn)題發(fā)生��;
只有事先嚴(yán)格控制���,才能從源頭真正解決問(wèn)題;
系統(tǒng)賬號(hào)的作用只是區(qū)分工作角色�����,但無(wú)法確認(rèn)用戶(hù)身份��;
只要是機(jī)器能做的��,就不要人去做�;
運(yùn)維堡壘機(jī)
1.堡壘機(jī)簡(jiǎn)介
1)堡壘機(jī)的理念起于跳板機(jī);
2)堡壘機(jī)的功能:
集中管理是前提�;
身份管理是基礎(chǔ);
訪(fǎng)問(wèn)控制是手段����;
操作審計(jì)是保證;
自動(dòng)化是目標(biāo)�����。
3)堡壘機(jī)是通過(guò)切斷終端對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和服務(wù)器資源的直接訪(fǎng)問(wèn),采用協(xié)議代理的方式接管終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器的訪(fǎng)問(wèn)��。
2.堡壘機(jī)作用
核心系統(tǒng)運(yùn)維和安全審計(jì)管控����;
過(guò)濾和攔截非法訪(fǎng)問(wèn)��、惡意攻擊�����,阻斷不合法命令���,審計(jì)監(jiān)控����、報(bào)警�����、責(zé)任追蹤�����;
報(bào)警、記錄����、分析、處理�����;
3.堡壘機(jī)核心功能
1)單點(diǎn)登錄功能
支持對(duì)X11����、Linux、Unix�、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備�、安全設(shè)備等一系列授權(quán)賬號(hào)進(jìn)行密碼的自動(dòng)化周期更改,簡(jiǎn)化密碼管理�,讓使用者無(wú)需記憶眾多系統(tǒng)密碼,即可實(shí)現(xiàn)自動(dòng)登錄目標(biāo)設(shè)備���,便捷安全����。
2)賬號(hào)管理
設(shè)備支持統(tǒng)一賬戶(hù)管理策略,能夠?qū)崿F(xiàn)對(duì)所有服務(wù)器���、網(wǎng)路設(shè)備���、安全設(shè)備等賬號(hào)進(jìn)行集中管理,完成對(duì)賬號(hào)整個(gè)生命周期的監(jiān)控����,并且可以對(duì)設(shè)備進(jìn)行特殊角設(shè)置��,如:審計(jì)巡檢員�、運(yùn)維操作員、設(shè)備管理員等自定義��,以滿(mǎn)足審計(jì)需求����。
3)身份認(rèn)證
設(shè)備提供統(tǒng)一的認(rèn)證接口,對(duì)用戶(hù)進(jìn)行認(rèn)證����,支持身份認(rèn)證模式包括動(dòng)態(tài)口令、靜態(tài)密碼��、硬件key�����、生物特征等多種認(rèn)證方式,設(shè)備具有靈活的定制接口�,可以與其他第三方認(rèn)證服務(wù)器直接結(jié)合安全的認(rèn)證模式,有效提高了認(rèn)證的安全性和可靠性���。
4)資源授權(quán)
設(shè)備提供基于用戶(hù)��、目標(biāo)設(shè)備��、時(shí)間���、協(xié)議類(lèi)型IP、行為等要素實(shí)現(xiàn)細(xì)粒度的操作授權(quán)���,最大限度保護(hù)用戶(hù)資源的安全���。
5)訪(fǎng)問(wèn)控制
設(shè)備支持對(duì)不同用戶(hù)進(jìn)行不同策略的制定,細(xì)粒度的訪(fǎng)問(wèn)控制能夠最大限度的保護(hù)用戶(hù)資源的安全�����,嚴(yán)防非法、越權(quán)訪(fǎng)問(wèn)事件的發(fā)生��;
6)操作審計(jì)
設(shè)備能夠?qū)ψ址?���、圖形、文件傳輸�、數(shù)據(jù)庫(kù)等安全操作進(jìn)行行為審計(jì);通過(guò)設(shè)備錄像方式監(jiān)控運(yùn)維人員對(duì)操作系統(tǒng)�、安全設(shè)備、網(wǎng)絡(luò)設(shè)備���、數(shù)據(jù)庫(kù)等進(jìn)行的各種操作,對(duì)違規(guī)行為進(jìn)行事中控制���;對(duì)終端指令信息能夠進(jìn)行精確搜索����,進(jìn)行錄像精確定位��;
4.堡壘機(jī)應(yīng)用場(chǎng)景
1)多個(gè)用戶(hù)使用同一賬號(hào)
多出現(xiàn)在同一工作組中���,由于工作需要�,同時(shí)系統(tǒng)管理員賬號(hào)唯一,因此只能多用戶(hù)共享同一賬號(hào)�����;如果發(fā)生安全事故�,不僅難以定位賬號(hào)的實(shí)際使用者和責(zé)任人,而且無(wú)法對(duì)賬號(hào)的使用范圍進(jìn)行有效控制�����,存在較大的安全風(fēng)險(xiǎn)和隱患���;
2)一個(gè)用戶(hù)使用多個(gè)賬號(hào)�。
目前一個(gè)維護(hù)人員使用多個(gè)賬號(hào)時(shí)較為普遍的情況�����,用戶(hù)需要記憶多套口令同時(shí)在多套主機(jī)系統(tǒng)�、網(wǎng)絡(luò)設(shè)備之間切換,降低工作效率�����,增加工作復(fù)雜度����;
3)缺少統(tǒng)一的權(quán)限管理平臺(tái)����,難以實(shí)現(xiàn)更細(xì)粒度的命令權(quán)限控制����。
維護(hù)人員的權(quán)限大多是粗放管理,無(wú)基于最小權(quán)限分配原則的用戶(hù)權(quán)限管理���,難以實(shí)現(xiàn)更細(xì)粒度的命令權(quán)限控制�����,系統(tǒng)安全性無(wú)法充分保證;
4)無(wú)法制定統(tǒng)一的訪(fǎng)問(wèn)審計(jì)策略���,審計(jì)粒度粗�。
各個(gè)網(wǎng)絡(luò)設(shè)備��、主機(jī)系統(tǒng)��、數(shù)據(jù)庫(kù)是分別單獨(dú)審計(jì)記錄訪(fǎng)問(wèn)行為�,由于沒(méi)有統(tǒng)一審計(jì)策略�,而且各系統(tǒng)自身審計(jì)日志內(nèi)容深淺不一�,難以及時(shí)通過(guò)系統(tǒng)自身審計(jì)發(fā)現(xiàn)違規(guī)操作行為和追查取證;
5)傳統(tǒng)的網(wǎng)路安全審計(jì)系統(tǒng)無(wú)法對(duì)維護(hù)人員經(jīng)常使用的SSH�、RDP等加密、圖形操作協(xié)議進(jìn)行內(nèi)容審計(jì)��。
5.目標(biāo)價(jià)值
1)目標(biāo)
堡壘機(jī)的核心思路是邏輯上將人與目標(biāo)設(shè)備分離��,建立“人-〉主賬號(hào)(堡壘機(jī)用戶(hù)賬號(hào))-〉授權(quán)—>從賬號(hào)(目標(biāo)設(shè)備賬號(hào))的模式;在這種模式下�����,基于唯一身份標(biāo)識(shí)���,通過(guò)集中管控安全策略的賬號(hào)管理����、授權(quán)管理和審計(jì)�����,建立針對(duì)維護(hù)人員的“主賬號(hào)-〉登錄—〉訪(fǎng)問(wèn)操作-〉退出”的全過(guò)程完整審計(jì)管理�����,實(shí)現(xiàn)對(duì)各種運(yùn)維加密/非加密、圖形操作協(xié)議的命令級(jí)審計(jì)���。
2)系統(tǒng)價(jià)值
堡壘機(jī)的作用主要體現(xiàn)在下述幾個(gè)方面:
企業(yè)角度
通過(guò)細(xì)粒度的安全管控策略����,保證企業(yè)的服務(wù)器�、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)���、安全設(shè)備等安全可靠運(yùn)行�,降低人為安全風(fēng)險(xiǎn)�����,避免安全損失���,保障企業(yè)效益�����。
管理員角度
所有運(yùn)維賬號(hào)的管理在一個(gè)平臺(tái)上進(jìn)行管理,賬號(hào)管理更加簡(jiǎn)單有序�;
通過(guò)建立用戶(hù)與賬號(hào)的唯一對(duì)應(yīng)關(guān)系�����,確保用戶(hù)擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限��;
直觀(guān)方便的監(jiān)控各種訪(fǎng)問(wèn)行為����,能夠及時(shí)發(fā)現(xiàn)違規(guī)操作����、權(quán)限濫用等。
鑒于多賬號(hào)同時(shí)使用超管進(jìn)行的操作����,便于實(shí)名制的認(rèn)證和自然人的關(guān)聯(lián)。
普通用戶(hù)角度
運(yùn)維人員只需記憶一個(gè)賬號(hào)和口令�����,一次登錄�����,便可實(shí)現(xiàn)對(duì)其所維護(hù)的多臺(tái)設(shè)備的訪(fǎng)問(wèn)����,無(wú)須記憶多個(gè)賬號(hào)和口令��,提高了工作效率�����,降低工作復(fù)雜度���。
6.應(yīng)用
一種用于單點(diǎn)登陸的主機(jī)應(yīng)用系統(tǒng),目前電信����、移動(dòng)、聯(lián)通三個(gè)運(yùn)營(yíng)商廣泛采用堡壘機(jī)來(lái)完成單點(diǎn)登陸和薩班斯要求的審計(jì)��。
在銀行��、證券等金融業(yè)機(jī)構(gòu)也廣泛采用堡壘機(jī)來(lái)完成對(duì)財(cái)務(wù)�、會(huì)計(jì)操作的審計(jì)。
在電力行業(yè)的雙網(wǎng)改造項(xiàng)目后����,采用堡壘機(jī)來(lái)完成雙網(wǎng)隔離之后跨網(wǎng)訪(fǎng)問(wèn)的問(wèn)題�,能夠很好的解決雙網(wǎng)之間的訪(fǎng)問(wèn)的安全問(wèn)題�����。
