摘要
1 前言
2 堡壘機的概念和種類
3 堡壘機運維操作審計的工作原理
4 如何選擇一款好的堡壘機產品
5 結束語
在資訊化社會,企事業單位業務對資訊系統高度依賴,而資訊系統維護人員往往擁有系統最高管理許可權,其操作行為必須得到有效監管與審計。作為運維操作審計最佳解決方案的堡壘機通常會給人一種神秘莫測的感覺,為了讓大家更清楚的了解堡壘機和運維操作審計,本文對堡壘機的概念及主要工作原理進行簡要分析。
當今的時代是乙個資訊化社會,資訊系統已成為各企事業單位業務運營的基礎,由於資訊系統運維人員掌握著資訊系統的最高許可權,一旦運維操作出現安全問題將會給企業或單位帶來巨大的損失。因此,加強對運維人員操作行為的監管與審計是資訊保安發展的必然趨勢。在此背景之下,針對運維操作管理與審計的堡壘機應運而生。堡壘機提供了一套多維度的運維操作控管控與審計解決方案,使得管理人員可以全面對各種資源(如網路裝置、伺服器、安全裝置和資料庫等)進行集中賬號管理、細粒度的許可權管理和訪問審計,幫助企業提公升內部風險控制水平。
「堡壘」一詞的含義是指用於防守的堅固建築物或比喻難於攻破的事物,因此從字面的意思來看「堡壘機」是指用於防禦攻擊的計算機。在實際應用中堡壘機又被稱為「堡壘主機」,是乙個主機系統,其自身通常經過了一定的加固,具有較高的安全性,可抵禦一定的攻擊,其作用主要是將需要保護的資訊系統資源與安全威脅的**進行隔離,從而在被保護的資源前面形成乙個堅固的「堡壘」,並且在抵禦威脅的同時又不影響普通使用者對資源的正常訪問。
基於其應用場景,堡壘機可分為兩種型別:
2.1閘道器型堡壘機
閘道器型的堡壘機被部署在外部網路和內部網路之間,其本身不直接向外部提供服務而是作為進入內部網路的乙個檢查點,用於提供對內部網路特定資源的安全訪問控制。這類堡壘機不提供路由功能,將內外網從網路層隔離開來,因此除非授權訪問外還可以過濾掉一些針對內網的來自應用層以下的攻擊,為內部網路資源提供了一道安全屏障。但由於此類堡壘機需要處理應用層的資料內容,效能消耗很大,所以隨著網路進出口處流量越來越大,部署在閘道器位置的堡壘機逐漸成為了效能瓶頸,因此閘道器型的堡壘機逐漸被日趨成熟的防火牆、utm、ips、網閘等安全產品所取代。
2.2 運維審計型堡壘機
第二種型別的堡壘機是審計型堡壘機,有時也被稱作「內控堡壘機」,這種型別的堡壘機也是當前應用最為普遍的一種。
運維審計型堡壘機的原理與閘道器型堡壘機類似,但其部署位置與應用場景不同且更為複雜。運維審計型堡壘機被部署在內網中的伺服器和網路裝置等核心資源的前面,對運維人員的操作許可權進行控制和操作行為審計;運維審計型堡壘機即解決了運維人員許可權難以控制混亂局面,又可對違規操作行為進行控制和審計,而且由於運維操作本身不會產生大規模的流量,堡壘機不會成為效能的瓶頸,所以堡壘機作為運維操作審計的手段得到了快速發展。
最早將堡壘機用於運維操作審計的是金融、運營商等高階行業的使用者,由於這些使用者的資訊化水平相對較高發展也比較快,隨著資訊系統安全建設發展其對運維操作審計的需求表現也更為突出,而且這些使用者更容易受到 「資訊系統等級保護」、「薩班斯法案」等法規政策的約束,因此基於堡壘機作為運維操作審計手段的上述特點,這些高階行業使用者率先將堡壘機應用於運維操作審計。
作為運維操作審計手段的堡壘機的核心功能是用於實現對運維操作人員的許可權控制與操作行為審計。
3.1 主要技術思路
如何實現對運維人員的許可權控制與審計呢?堡壘機必須能夠截獲運維人員的操作,並能夠分析出其操作的內容。堡壘機的部署方式,確保它能夠截獲運維人員的所有操作行為,分析出其中的操作內容以實現許可權控制和行為審計的目的,同時堡壘機還採用了應用**的技術。運維審計型堡壘機對於運維操作人員相當於一台**伺服器(proxy server),其工作流程如下圖所示:
圖1. 堡壘機工作流程示意圖
1) 運維人員在操作過程中首先連線到堡壘機,然後向堡壘機提交操作請求;
2) 該請求通過堡壘機的許可權檢查後,堡壘機的應用**模組將代替使用者連線到目標裝置完成該操作,之後目標裝置將操作結果返回給堡壘機,最後堡壘機再將操作結果返回給運維操作人員。
通過這種方式,堡壘機邏輯上將運維人員與目標裝置隔離開來,建立了從「運維人員->堡壘機使用者賬號->授權->目標裝置賬號->目標裝置」的管理模式,解決操作許可權控制和行為審計問題的同時,也解決了加密協議和圖形協議等無法通過協議還原進行審計的問題。
3.2 工作原理簡介
下面就簡單介紹一下堡壘機運維操作審計的工作原理,其工作原理示意圖如下:
圖2. 堡壘機工作原理示意圖
在實際使用場景中堡壘機的使用人員通常可分為管理人員、運維操作人員、審計人員三類使用者。
管理員最重要的職責是根據相應的安全策略和運維人員應有的操作許可權來配置堡壘機的安全策略。堡壘機管理員登入堡壘機後,在堡壘機內部,「策略管理」元件負責與管理員進行互動,並將管理員輸入的安全策略儲存到堡壘機內部的策略配置庫中。
「應用**」元件是堡壘機的核心,負責中轉運維操作使用者的操作並與堡壘機內部其他元件進行互動。「應用**」元件收到運維人員的操作請求後呼叫「策略管理」元件對該操作行為進行核查,核查依據便是管理員已經配置好的策略配置庫,如此次操作不符合安全策略「應用**」元件將拒絕該操作行為的執行。
運維人員的操作行為通過「策略管理」元件的核查之後「應用**」元件則代替運維人員連線目標裝置完成相應操作,並將操作返回結果返回給對應的運維操作人員;同時此次操作過程被提交給堡壘機內部的「審計模組」,然後此次操作過程被記錄到審計日誌資料庫中。
最後當需要調查運維人員的歷史操作記錄時,由審計員登入堡壘機進行查詢,然後「審計模組」從審計日誌資料庫中讀取相應日誌記錄並展示在審計員互動介面上。
對於資訊系統的管理者來說除了工作原理以外可能更關心如何選擇一款好的運維審計堡壘機產品。乙個好的運維審計堡壘機產品應實現對伺服器、網路裝置、安全裝置等核心資產的運維管理賬號的集中賬號管理、集中認證和授權,通過單點登入,提供對操作行為的精細化管理和審計,達到運維管理簡單、方便、可靠的目的。
4.1 管理方便
應提供一套簡單直觀的賬號管理、授權管理策略,管理員可快速方便地查詢某個使用者,查詢修改訪問許可權;同時使用者能夠方便的通過登入堡壘機對自己的基本資訊進行管理,包括賬號、口令等進行修改更新。
4.2 可擴充套件性
當進行新系統建設或擴容時,需要增加新的裝置到堡壘機時,系統應能方便的增加裝置數量和裝置種類。
4.3 精細審計
針對傳統網路安全審計產品無法對通過加密、圖形運維操作協議進行為審計的缺陷,系統應能實現對rdp、vnc、x-window、ssh、sftp、https等協議進行集中審計,提供對各種操作的精細授權管理和實時監控審計。
4.4 審計可查
可實時監控和完整審計記錄所有維護人員的操作行為;並能根據需求,方便快速的查詢到使用者的操作行為日誌,以便追查取證。
4.5 安全性
堡壘機自身需具備較高的安全性,須有冗餘、備份措施,如日誌自動備份等。
4.6 部署方便
系統採用物理旁路,邏輯串聯的模式,不需要改變網路拓撲結構,不需要在終端安裝客戶端軟體,不改變管理員、運維人員的操作習慣,也不影響正常業務執行。
本文簡要分析了堡壘機的概念以及其運維操作審計的主要工作原理。隨著資訊保安的快速發展,來自內部的安全威脅日益增多,綜合防護、內部威脅防護等思想越來越受到重視,而各個層面的政策合規,如「薩班斯法案」、「資訊系統等級保護」等等也紛紛對運維人員的操作行為審計提出明確要求。堡壘機作為運維安全審計產品將成為資訊系統安全的最後一道防線,其作用也將越來越重要,應用範圍勢必會快速擴充套件到各個行業的資訊系統。因此在當前的形勢之下,讓大家更加清楚的了解堡壘機也就十分必要了。
收藏
堡壘機與網閘
企業裡面有很多的伺服器和運維人員,為了方便運維,其中一些運維人員有伺服器的超級管理員賬號。如果某個運維人員因操作失誤把資料庫刪了,如何知道是哪個運維人員幹的呢?最開始的基本需求是 行為回放 記錄下來何人,在何時做了何事,方便事後追究責任 後來這個系統不斷的完善,後續又加入了許可權分離和安全管控,逐漸...
關於堡壘機的原理以及如何配置
堡壘機,即在乙個特定的網路環境下,為了保障網路和資料不受來自外部和內部使用者的入侵和破壞,而運用各種技術手段實時收集和監控網路環境中每乙個組成部分的系統狀態 安全事件 網路活動,以便集中報警 記錄 分析 處理的一種技術手段。堡壘機工作流程 1 運維人員在操作過程中首先連線到堡壘機,然後向堡壘機提交操...
雲堡壘機的作用 三分鐘了解什麼是雲堡壘機
雲堡壘機是針對企業的運維人員 開發人員,還有企業所管理的裝置,就是我們所謂的伺服器 網路裝置 安全裝置對他們的操作過程或者行為進行管理 控制和審計的工作。行雲管家的雲堡壘機可以提供以上所有服務。比如說資料庫 rds也好,包括一些虛機,包括物理伺服器 網路裝置,就是要被管理的裝置。那企業在做運維的時候...