在大型企業從事過運維工作的朋友想必都清楚�����,公司運維混亂是非常常見的現象�����。人數一旦多了起來,就會出現多人共用一個賬號,或者一人使用多個賬號的問題�����,時間一長難免會增加賬號泄露的風險�����,而且也會導致一些違規操作行為的發生�����,對于公司信息安全的風險是非常大的。因此運維人員都深知堡壘機所帶來的特殊意義�����,堡壘機的使用也開始流行起來�����。那么�����,堡壘機究竟是用來干嘛的?下面一起來了解一下吧!
跳板機
1.跳板機簡介
跳板機就是一臺服務器,運維人員在維護過程中首先要統一登錄到這臺服務器,然后再登錄到目標設備進行維護和操作;
在騰訊,跳板機是開發者登錄到服務器的唯一途徑�����,開發者必須先登錄跳板機�����,再通過跳板機登錄到應用服務器�����。
2.跳板機的驗證方式
作用:
證書:Certificate證書為文本格式�����,長度為2048bit�����;是應用登錄到機器上的唯一身份標識�����,每個用戶有且僅有一個證書。
固定密碼:分配LDAP賬號時�����,同時也會分配一個固定密碼
動態驗證碼(token):是一個6位數的數字串�����,每個動態驗證碼有效期3分鐘�����。
3.跳板機的優勢和不足:
優勢:集中管理
不足:沒有實現對運維人員操作行為的控制和審計,使用跳板機的過程中還是會出現誤操作�����、違規操作導致的事故�����,一旦出現操作事故很難快速定位到原因和責任人。
4.運維思想:
審計是事后行為,可以發現問題及責任人�����,但無法防止問題發生;
只有事先嚴格控制�����,才能從源頭真正解決問題�����;
系統賬號的作用只是區分工作角色�����,但無法確認用戶身份;
只要是機器能做的�����,就不要人去做�����;
運維堡壘機
1.堡壘機簡介
1)堡壘機的理念起于跳板機�����;
2)堡壘機的功能:
集中管理是前提;
身份管理是基礎�����;
訪問控制是手段�����;
操作審計是保證;
自動化是目標。
3)堡壘機是通過切斷終端對計算機網絡和服務器資源的直接訪問�����,采用協議代理的方式接管終端計算機對網絡和服務器的訪問�����。
2.堡壘機作用
3.堡壘機核心功能
1)單點登錄功能
支持對X11、Linux�����、Unix�����、數據庫�����、網絡設備、安全設備等一系列授權賬號進行密碼的自動化周期更改,簡化密碼管理�����,讓使用者無需記憶眾多系統密碼�����,即可實現自動登錄目標設備�����,便捷安全�����。
2)賬號管理
設備支持統一賬戶管理策略�����,能夠實現對所有服務器、網路設備�����、安全設備等賬號進行集中管理�����,完成對賬號整個生命周期的監控�����,并且可以對設備進行特殊角設置,如:審計巡檢員�����、運維操作員�����、設備管理員等自定義,以滿足審計需求。
3)身份認證
設備提供統一的認證接口�����,對用戶進行認證�����,支持身份認證模式包括動態口令�����、靜態密碼、硬件key�����、生物特征等多種認證方式,設備具有靈活的定制接口,可以與其他第三方認證服務器直接結合安全的認證模式�����,有效提高了認證的安全性和可靠性�����。
4)資源授權
設備提供基于用戶�����、目標設備、時間�����、協議類型IP�����、行為等要素實現細粒度的操作授權,最大限度保護用戶資源的安全�����。
5)訪問控制
設備支持對不同用戶進行不同策略的制定�����,細粒度的訪問控制能夠最大限度的保護用戶資源的安全�����,嚴防非法、越權訪問事件的發生;
6)操作審計
設備能夠對字符串�����、圖形�����、文件傳輸�����、數據庫等安全操作進行行為審計;通過設備錄像方式監控運維人員對操作系統�����、安全設備�����、網絡設備、數據庫等進行的各種操作�����,對違規行為進行事中控制�����;對終端指令信息能夠進行精確搜索�����,進行錄像精確定位;
4.堡壘機應用場景
1)多個用戶使用同一賬號
多出現在同一工作組中�����,由于工作需要,同時系統管理員賬號唯一�����,因此只能多用戶共享同一賬號�����;如果發生安全事故�����,不僅難以定位賬號的實際使用者和責任人�����,而且無法對賬號的使用范圍進行有效控制�����,存在較大的安全風險和隱患;
2)一個用戶使用多個賬號�����。
目前一個維護人員使用多個賬號時較為普遍的情況�����,用戶需要記憶多套口令同時在多套主機系統�����、網絡設備之間切換,降低工作效率�����,增加工作復雜度�����;
3)缺少統一的權限管理平臺�����,難以實現更細粒度的命令權限控制�����。
維護人員的權限大多是粗放管理�����,無基于最小權限分配原則的用戶權限管理,難以實現更細粒度的命令權限控制,系統安全性無法充分保證�����;
4)無法制定統一的訪問審計策略�����,審計粒度粗�����。
各個網絡設備、主機系統、數據庫是分別單獨審計記錄訪問行為�����,由于沒有統一審計策略,而且各系統自身審計日志內容深淺不一,難以及時通過系統自身審計發現違規操作行為和追查取證;
5)傳統的網路安全審計系統無法對維護人員經常使用的SSH�����、RDP等加密�����、圖形操作協議進行內容審計。
5.目標價值
1)目標
堡壘機的核心思路是邏輯上將人與目標設備分離,建立“人-〉主賬號(堡壘機用戶賬號)-〉授權—>從賬號(目標設備賬號)的模式;在這種模式下�����,基于唯一身份標識�����,通過集中管控安全策略的賬號管理�����、授權管理和審計,建立針對維護人員的“主賬號-〉登錄—〉訪問操作-〉退出”的全過程完整審計管理�����,實現對各種運維加密/非加密�����、圖形操作協議的命令級審計�����。
2)系統價值
堡壘機的作用主要體現在下述幾個方面:
企業角度
通過細粒度的安全管控策略,保證企業的服務器�����、網絡設備�����、數據庫、安全設備等安全可靠運行�����,降低人為安全風險�����,避免安全損失�����,保障企業效益。
管理員角度
所有運維賬號的管理在一個平臺上進行管理�����,賬號管理更加簡單有序�����;
通過建立用戶與賬號的唯一對應關系�����,確保用戶擁有的權限是完成任務所需的最小權限;
直觀方便的監控各種訪問行為�����,能夠及時發現違規操作�����、權限濫用等�����。
鑒于多賬號同時使用超管進行的操作,便于實名制的認證和自然人的關聯�����。
普通用戶角度
運維人員只需記憶一個賬號和口令�����,一次登錄�����,便可實現對其所維護的多臺設備的訪問,無須記憶多個賬號和口令,提高了工作效率,降低工作復雜度。
6.應用
一種用于單點登陸的主機應用系統�����,目前電信�����、移動�����、聯通三個運營商廣泛采用堡壘機來完成單點登陸和薩班斯要求的審計�����。
在銀行�����、證券等金融業機構也廣泛采用堡壘機來完成對財務、會計操作的審計。
在電力行業的雙網改造項目后�����,采用堡壘機來完成雙網隔離之后跨網訪問的問題�����,能夠很好的解決雙網之間的訪問的安全問題�����。
