在大型企業(yè)從事過運(yùn)維工作的朋友想必都清楚,公司運(yùn)維混亂是非常常見的現(xiàn)象�����。人數(shù)一旦多了起來��,就會出現(xiàn)多人共用一個賬號����,或者一人使用多個賬號的問題��,時間一長難免會增加賬號泄露的風(fēng)險,而且也會導(dǎo)致一些違規(guī)操作行為的發(fā)生,對于公司信息安全的風(fēng)險是非常大的。因此運(yùn)維人員都深知堡壘機(jī)所帶來的特殊意義,堡壘機(jī)的使用也開始流行起來。那么,堡壘機(jī)究竟是用來干嘛的?下面一起來了解一下吧!
跳板機(jī)
1.跳板機(jī)簡介
跳板機(jī)就是一臺服務(wù)器,運(yùn)維人員在維護(hù)過程中首先要統(tǒng)一登錄到這臺服務(wù)器,然后再登錄到目標(biāo)設(shè)備進(jìn)行維護(hù)和操作;
在騰訊���,跳板機(jī)是開發(fā)者登錄到服務(wù)器的唯一途徑,開發(fā)者必須先登錄跳板機(jī),再通過跳板機(jī)登錄到應(yīng)用服務(wù)器��。
2.跳板機(jī)的驗證方式
作用:
證書:Certificate證書為文本格式�����,長度為2048bit;是應(yīng)用登錄到機(jī)器上的唯一身份標(biāo)識��,每個用戶有且僅有一個證書���。
固定密碼:分配LDAP賬號時�����,同時也會分配一個固定密碼
動態(tài)驗證碼(token):是一個6位數(shù)的數(shù)字串��,每個動態(tài)驗證碼有效期3分鐘。
3.跳板機(jī)的優(yōu)勢和不足:
優(yōu)勢:集中管理
不足:沒有實現(xiàn)對運(yùn)維人員操作行為的控制和審計,使用跳板機(jī)的過程中還是會出現(xiàn)誤操作、違規(guī)操作導(dǎo)致的事故����,一旦出現(xiàn)操作事故很難快速定位到原因和責(zé)任人�。
4.運(yùn)維思想:
審計是事后行為�,可以發(fā)現(xiàn)問題及責(zé)任人���,但無法防止問題發(fā)生����;
只有事先嚴(yán)格控制,才能從源頭真正解決問題;
系統(tǒng)賬號的作用只是區(qū)分工作角色���,但無法確認(rèn)用戶身份;
只要是機(jī)器能做的,就不要人去做����;
運(yùn)維堡壘機(jī)
1.堡壘機(jī)簡介
1)堡壘機(jī)的理念起于跳板機(jī)�;
2)堡壘機(jī)的功能:
集中管理是前提��;
身份管理是基礎(chǔ)�;
訪問控制是手段���;
操作審計是保證���;
自動化是目標(biāo)��。
3)堡壘機(jī)是通過切斷終端對計算機(jī)網(wǎng)絡(luò)和服務(wù)器資源的直接訪問��,采用協(xié)議代理的方式接管終端計算機(jī)對網(wǎng)絡(luò)和服務(wù)器的訪問。
2.堡壘機(jī)作用
3.堡壘機(jī)核心功能
1)單點(diǎn)登錄功能
支持對X11�、Linux�����、Unix、數(shù)據(jù)庫�、網(wǎng)絡(luò)設(shè)備����、安全設(shè)備等一系列授權(quán)賬號進(jìn)行密碼的自動化周期更改�����,簡化密碼管理��,讓使用者無需記憶眾多系統(tǒng)密碼,即可實現(xiàn)自動登錄目標(biāo)設(shè)備��,便捷安全����。
2)賬號管理
設(shè)備支持統(tǒng)一賬戶管理策略,能夠?qū)崿F(xiàn)對所有服務(wù)器���、網(wǎng)路設(shè)備����、安全設(shè)備等賬號進(jìn)行集中管理,完成對賬號整個生命周期的監(jiān)控�,并且可以對設(shè)備進(jìn)行特殊角設(shè)置�����,如:審計巡檢員、運(yùn)維操作員��、設(shè)備管理員等自定義��,以滿足審計需求���。
3)身份認(rèn)證
設(shè)備提供統(tǒng)一的認(rèn)證接口�,對用戶進(jìn)行認(rèn)證���,支持身份認(rèn)證模式包括動態(tài)口令����、靜態(tài)密碼、硬件key、生物特征等多種認(rèn)證方式��,設(shè)備具有靈活的定制接口��,可以與其他第三方認(rèn)證服務(wù)器直接結(jié)合安全的認(rèn)證模式�,有效提高了認(rèn)證的安全性和可靠性�����。
4)資源授權(quán)
設(shè)備提供基于用戶���、目標(biāo)設(shè)備、時間、協(xié)議類型IP���、行為等要素實現(xiàn)細(xì)粒度的操作授權(quán),最大限度保護(hù)用戶資源的安全。
5)訪問控制
設(shè)備支持對不同用戶進(jìn)行不同策略的制定�����,細(xì)粒度的訪問控制能夠最大限度的保護(hù)用戶資源的安全���,嚴(yán)防非法、越權(quán)訪問事件的發(fā)生;
6)操作審計
設(shè)備能夠?qū)ψ址?��、圖形、文件傳輸、數(shù)據(jù)庫等安全操作進(jìn)行行為審計��;通過設(shè)備錄像方式監(jiān)控運(yùn)維人員對操作系統(tǒng)�����、安全設(shè)備����、網(wǎng)絡(luò)設(shè)備����、數(shù)據(jù)庫等進(jìn)行的各種操作,對違規(guī)行為進(jìn)行事中控制����;對終端指令信息能夠進(jìn)行精確搜索��,進(jìn)行錄像精確定位;
4.堡壘機(jī)應(yīng)用場景
1)多個用戶使用同一賬號
多出現(xiàn)在同一工作組中�����,由于工作需要����,同時系統(tǒng)管理員賬號唯一�,因此只能多用戶共享同一賬號;如果發(fā)生安全事故�����,不僅難以定位賬號的實際使用者和責(zé)任人����,而且無法對賬號的使用范圍進(jìn)行有效控制,存在較大的安全風(fēng)險和隱患����;
2)一個用戶使用多個賬號���。
目前一個維護(hù)人員使用多個賬號時較為普遍的情況���,用戶需要記憶多套口令同時在多套主機(jī)系統(tǒng)���、網(wǎng)絡(luò)設(shè)備之間切換���,降低工作效率����,增加工作復(fù)雜度�;
3)缺少統(tǒng)一的權(quán)限管理平臺,難以實現(xiàn)更細(xì)粒度的命令權(quán)限控制�。
維護(hù)人員的權(quán)限大多是粗放管理�����,無基于最小權(quán)限分配原則的用戶權(quán)限管理���,難以實現(xiàn)更細(xì)粒度的命令權(quán)限控制����,系統(tǒng)安全性無法充分保證;
4)無法制定統(tǒng)一的訪問審計策略�����,審計粒度粗�����。
各個網(wǎng)絡(luò)設(shè)備���、主機(jī)系統(tǒng)��、數(shù)據(jù)庫是分別單獨(dú)審計記錄訪問行為��,由于沒有統(tǒng)一審計策略,而且各系統(tǒng)自身審計日志內(nèi)容深淺不一�,難以及時通過系統(tǒng)自身審計發(fā)現(xiàn)違規(guī)操作行為和追查取證���;
5)傳統(tǒng)的網(wǎng)路安全審計系統(tǒng)無法對維護(hù)人員經(jīng)常使用的SSH�����、RDP等加密、圖形操作協(xié)議進(jìn)行內(nèi)容審計����。
5.目標(biāo)價值
1)目標(biāo)
堡壘機(jī)的核心思路是邏輯上將人與目標(biāo)設(shè)備分離,建立“人-〉主賬號(堡壘機(jī)用戶賬號)-〉授權(quán)—>從賬號(目標(biāo)設(shè)備賬號)的模式;在這種模式下�,基于唯一身份標(biāo)識��,通過集中管控安全策略的賬號管理、授權(quán)管理和審計�,建立針對維護(hù)人員的“主賬號-〉登錄—〉訪問操作-〉退出”的全過程完整審計管理���,實現(xiàn)對各種運(yùn)維加密/非加密���、圖形操作協(xié)議的命令級審計����。
2)系統(tǒng)價值
堡壘機(jī)的作用主要體現(xiàn)在下述幾個方面:
企業(yè)角度
通過細(xì)粒度的安全管控策略�����,保證企業(yè)的服務(wù)器���、網(wǎng)絡(luò)設(shè)備�����、數(shù)據(jù)庫、安全設(shè)備等安全可靠運(yùn)行�����,降低人為安全風(fēng)險�����,避免安全損失�����,保障企業(yè)效益����。
管理員角度
所有運(yùn)維賬號的管理在一個平臺上進(jìn)行管理,賬號管理更加簡單有序���;
通過建立用戶與賬號的唯一對應(yīng)關(guān)系,確保用戶擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限���;
直觀方便的監(jiān)控各種訪問行為,能夠及時發(fā)現(xiàn)違規(guī)操作、權(quán)限濫用等。
鑒于多賬號同時使用超管進(jìn)行的操作�,便于實名制的認(rèn)證和自然人的關(guān)聯(lián)�。
普通用戶角度
運(yùn)維人員只需記憶一個賬號和口令���,一次登錄�����,便可實現(xiàn)對其所維護(hù)的多臺設(shè)備的訪問�,無須記憶多個賬號和口令,提高了工作效率,降低工作復(fù)雜度。
6.應(yīng)用
一種用于單點(diǎn)登陸的主機(jī)應(yīng)用系統(tǒng)����,目前電信�����、移動、聯(lián)通三個運(yùn)營商廣泛采用堡壘機(jī)來完成單點(diǎn)登陸和薩班斯要求的審計。
在銀行����、證券等金融業(yè)機(jī)構(gòu)也廣泛采用堡壘機(jī)來完成對財務(wù)����、會計操作的審計��。
在電力行業(yè)的雙網(wǎng)改造項目后,采用堡壘機(jī)來完成雙網(wǎng)隔離之后跨網(wǎng)訪問的問題��,能夠很好的解決雙網(wǎng)之間的訪問的安全問題�。
