在大型企業(yè)從事過運(yùn)維工作的朋友想必都清楚,公司運(yùn)維混亂是非常常見的現(xiàn)象。人數(shù)一旦多了起來��,就會(huì)出現(xiàn)多人共用一個(gè)賬號(hào)�����,或者一人使用多個(gè)賬號(hào)的問題��,時(shí)間一長難免會(huì)增加賬號(hào)泄露的風(fēng)險(xiǎn)����,而且也會(huì)導(dǎo)致一些違規(guī)操作行為的發(fā)生,對(duì)于公司信息安全的風(fēng)險(xiǎn)是非常大的���。因此運(yùn)維人員都深知堡壘機(jī)所帶來的特殊意義�����,堡壘機(jī)的使用也開始流行起來。那么�����,堡壘機(jī)究竟是用來干嘛的���?下面一起來了解一下吧�!
跳板機(jī)
1.跳板機(jī)簡(jiǎn)介
跳板機(jī)就是一臺(tái)服務(wù)器���,運(yùn)維人員在維護(hù)過程中首先要統(tǒng)一登錄到這臺(tái)服務(wù)器����,然后再登錄到目標(biāo)設(shè)備進(jìn)行維護(hù)和操作;
在騰訊�,跳板機(jī)是開發(fā)者登錄到服務(wù)器的唯一途徑,開發(fā)者必須先登錄跳板機(jī)����,再通過跳板機(jī)登錄到應(yīng)用服務(wù)器。
2.跳板機(jī)的驗(yàn)證方式
作用:
證書:Certificate證書為文本格式���,長度為2048bit�;是應(yīng)用登錄到機(jī)器上的唯一身份標(biāo)識(shí)�,每個(gè)用戶有且僅有一個(gè)證書�。
固定密碼:分配LDAP賬號(hào)時(shí)��,同時(shí)也會(huì)分配一個(gè)固定密碼
動(dòng)態(tài)驗(yàn)證碼(token):是一個(gè)6位數(shù)的數(shù)字串���,每個(gè)動(dòng)態(tài)驗(yàn)證碼有效期3分鐘���。
3.跳板機(jī)的優(yōu)勢(shì)和不足:
優(yōu)勢(shì):集中管理
不足:沒有實(shí)現(xiàn)對(duì)運(yùn)維人員操作行為的控制和審計(jì),使用跳板機(jī)的過程中還是會(huì)出現(xiàn)誤操作�����、違規(guī)操作導(dǎo)致的事故�����,一旦出現(xiàn)操作事故很難快速定位到原因和責(zé)任人���。
4.運(yùn)維思想:
審計(jì)是事后行為,可以發(fā)現(xiàn)問題及責(zé)任人�����,但無法防止問題發(fā)生�;
只有事先嚴(yán)格控制�����,才能從源頭真正解決問題����;
系統(tǒng)賬號(hào)的作用只是區(qū)分工作角色�����,但無法確認(rèn)用戶身份���;
只要是機(jī)器能做的�����,就不要人去做�;
運(yùn)維堡壘機(jī)
1.堡壘機(jī)簡(jiǎn)介
1)堡壘機(jī)的理念起于跳板機(jī)���;
2)堡壘機(jī)的功能:
集中管理是前提��;
身份管理是基礎(chǔ)��;
訪問控制是手段�����;
操作審計(jì)是保證�����;
自動(dòng)化是目標(biāo)����。
3)堡壘機(jī)是通過切斷終端對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和服務(wù)器資源的直接訪問,采用協(xié)議代理的方式接管終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器的訪問����。
2.堡壘機(jī)作用
核心系統(tǒng)運(yùn)維和安全審計(jì)管控;
過濾和攔截非法訪問�����、惡意攻擊�,阻斷不合法命令,審計(jì)監(jiān)控��、報(bào)警���、責(zé)任追蹤���;
報(bào)警、記錄�����、分析�����、處理��;
3.堡壘機(jī)核心功能
1)單點(diǎn)登錄功能
支持對(duì)X11��、Linux��、Unix���、數(shù)據(jù)庫��、網(wǎng)絡(luò)設(shè)備�����、安全設(shè)備等一系列授權(quán)賬號(hào)進(jìn)行密碼的自動(dòng)化周期更改���,簡(jiǎn)化密碼管理����,讓使用者無需記憶眾多系統(tǒng)密碼���,即可實(shí)現(xiàn)自動(dòng)登錄目標(biāo)設(shè)備�����,便捷安全����。
2)賬號(hào)管理
設(shè)備支持統(tǒng)一賬戶管理策略����,能夠?qū)崿F(xiàn)對(duì)所有服務(wù)器、網(wǎng)路設(shè)備����、安全設(shè)備等賬號(hào)進(jìn)行集中管理,完成對(duì)賬號(hào)整個(gè)生命周期的監(jiān)控����,并且可以對(duì)設(shè)備進(jìn)行特殊角設(shè)置,如:審計(jì)巡檢員����、運(yùn)維操作員、設(shè)備管理員等自定義�����,以滿足審計(jì)需求�。
3)身份認(rèn)證
設(shè)備提供統(tǒng)一的認(rèn)證接口,對(duì)用戶進(jìn)行認(rèn)證�����,支持身份認(rèn)證模式包括動(dòng)態(tài)口令����、靜態(tài)密碼、硬件key�����、生物特征等多種認(rèn)證方式����,設(shè)備具有靈活的定制接口����,可以與其他第三方認(rèn)證服務(wù)器直接結(jié)合安全的認(rèn)證模式�����,有效提高了認(rèn)證的安全性和可靠性�����。
4)資源授權(quán)
設(shè)備提供基于用戶�、目標(biāo)設(shè)備、時(shí)間����、協(xié)議類型IP、行為等要素實(shí)現(xiàn)細(xì)粒度的操作授權(quán)�,最大限度保護(hù)用戶資源的安全。
5)訪問控制
設(shè)備支持對(duì)不同用戶進(jìn)行不同策略的制定�����,細(xì)粒度的訪問控制能夠最大限度的保護(hù)用戶資源的安全�,嚴(yán)防非法���、越權(quán)訪問事件的發(fā)生;
6)操作審計(jì)
設(shè)備能夠?qū)ψ址?����、圖形��、文件傳輸��、數(shù)據(jù)庫等安全操作進(jìn)行行為審計(jì)�;通過設(shè)備錄像方式監(jiān)控運(yùn)維人員對(duì)操作系統(tǒng)��、安全設(shè)備��、網(wǎng)絡(luò)設(shè)備����、數(shù)據(jù)庫等進(jìn)行的各種操作,對(duì)違規(guī)行為進(jìn)行事中控制��;對(duì)終端指令信息能夠進(jìn)行精確搜索����,進(jìn)行錄像精確定位����;
4.堡壘機(jī)應(yīng)用場(chǎng)景
1)多個(gè)用戶使用同一賬號(hào)
多出現(xiàn)在同一工作組中�,由于工作需要,同時(shí)系統(tǒng)管理員賬號(hào)唯一��,因此只能多用戶共享同一賬號(hào)����;如果發(fā)生安全事故,不僅難以定位賬號(hào)的實(shí)際使用者和責(zé)任人��,而且無法對(duì)賬號(hào)的使用范圍進(jìn)行有效控制�,存在較大的安全風(fēng)險(xiǎn)和隱患;
2)一個(gè)用戶使用多個(gè)賬號(hào)�。
目前一個(gè)維護(hù)人員使用多個(gè)賬號(hào)時(shí)較為普遍的情況,用戶需要記憶多套口令同時(shí)在多套主機(jī)系統(tǒng)��、網(wǎng)絡(luò)設(shè)備之間切換���,降低工作效率��,增加工作復(fù)雜度�����;
3)缺少統(tǒng)一的權(quán)限管理平臺(tái)�����,難以實(shí)現(xiàn)更細(xì)粒度的命令權(quán)限控制�����。
維護(hù)人員的權(quán)限大多是粗放管理���,無基于最小權(quán)限分配原則的用戶權(quán)限管理,難以實(shí)現(xiàn)更細(xì)粒度的命令權(quán)限控制�����,系統(tǒng)安全性無法充分保證�����;
4)無法制定統(tǒng)一的訪問審計(jì)策略���,審計(jì)粒度粗����。
各個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)�����、數(shù)據(jù)庫是分別單獨(dú)審計(jì)記錄訪問行為��,由于沒有統(tǒng)一審計(jì)策略��,而且各系統(tǒng)自身審計(jì)日志內(nèi)容深淺不一����,難以及時(shí)通過系統(tǒng)自身審計(jì)發(fā)現(xiàn)違規(guī)操作行為和追查取證;
5)傳統(tǒng)的網(wǎng)路安全審計(jì)系統(tǒng)無法對(duì)維護(hù)人員經(jīng)常使用的SSH��、RDP等加密����、圖形操作協(xié)議進(jìn)行內(nèi)容審計(jì)。
5.目標(biāo)價(jià)值
1)目標(biāo)
堡壘機(jī)的核心思路是邏輯上將人與目標(biāo)設(shè)備分離��,建立“人-〉主賬號(hào)(堡壘機(jī)用戶賬號(hào))-〉授權(quán)—>從賬號(hào)(目標(biāo)設(shè)備賬號(hào))的模式;在這種模式下�����,基于唯一身份標(biāo)識(shí)����,通過集中管控安全策略的賬號(hào)管理��、授權(quán)管理和審計(jì)��,建立針對(duì)維護(hù)人員的“主賬號(hào)-〉登錄—〉訪問操作-〉退出”的全過程完整審計(jì)管理����,實(shí)現(xiàn)對(duì)各種運(yùn)維加密/非加密����、圖形操作協(xié)議的命令級(jí)審計(jì)。
2)系統(tǒng)價(jià)值
堡壘機(jī)的作用主要體現(xiàn)在下述幾個(gè)方面:
企業(yè)角度
通過細(xì)粒度的安全管控策略����,保證企業(yè)的服務(wù)器��、網(wǎng)絡(luò)設(shè)備��、數(shù)據(jù)庫����、安全設(shè)備等安全可靠運(yùn)行,降低人為安全風(fēng)險(xiǎn)�,避免安全損失���,保障企業(yè)效益。
管理員角度
所有運(yùn)維賬號(hào)的管理在一個(gè)平臺(tái)上進(jìn)行管理�,賬號(hào)管理更加簡(jiǎn)單有序;
通過建立用戶與賬號(hào)的唯一對(duì)應(yīng)關(guān)系�,確保用戶擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限;
直觀方便的監(jiān)控各種訪問行為���,能夠及時(shí)發(fā)現(xiàn)違規(guī)操作����、權(quán)限濫用等��。
鑒于多賬號(hào)同時(shí)使用超管進(jìn)行的操作����,便于實(shí)名制的認(rèn)證和自然人的關(guān)聯(lián)。
普通用戶角度
運(yùn)維人員只需記憶一個(gè)賬號(hào)和口令��,一次登錄�����,便可實(shí)現(xiàn)對(duì)其所維護(hù)的多臺(tái)設(shè)備的訪問,無須記憶多個(gè)賬號(hào)和口令�����,提高了工作效率����,降低工作復(fù)雜度。
6.應(yīng)用
一種用于單點(diǎn)登陸的主機(jī)應(yīng)用系統(tǒng)����,目前電信、移動(dòng)��、聯(lián)通三個(gè)運(yùn)營商廣泛采用堡壘機(jī)來完成單點(diǎn)登陸和薩班斯要求的審計(jì)���。
在銀行��、證券等金融業(yè)機(jī)構(gòu)也廣泛采用堡壘機(jī)來完成對(duì)財(cái)務(wù)、會(huì)計(jì)操作的審計(jì)��。
在電力行業(yè)的雙網(wǎng)改造項(xiàng)目后��,采用堡壘機(jī)來完成雙網(wǎng)隔離之后跨網(wǎng)訪問的問題�,能夠很好的解決雙網(wǎng)之間的訪問的安全問題。
