淺談堡壘機
一、堡壘機概念
堡壘機是一個統稱,在一個特定的網路環境下,為了保障網路和資料不受來自外部和內部使用者的***和破壞,而運用各種技術手段實時收集和監控網路環境中每一個組成部分的系統狀態、安全事件、網路活動,以便集中報警、及時處理及審計定責。在堡壘機這個行業裡面,各家公司產品名字不一,有的叫操作風險管理系統、有的叫運維安全審計,有的叫內控安全管理等等。
大致分為三種:軟體堡壘機、硬體堡壘機、雲堡壘機。
二、產生背景
隨著企事業單位 IT 系統不斷髮展,網路規模和裝置數量不斷增大 , 日趨複雜的 IT 系統與不同背景的運維人員的行為,給資訊系統安全帶來較大風險。主要表現在:
●賬號管理無序 , 共享賬號、弱口令認證普遍存在,身份安全無法保證;
● 系統缺乏細粒度訪問控制,存在高許可權操作隱患;
● 訪問過程缺乏有效監督 , 出現問題難以定責;
● 傳統的網路審計無法滿足運維操作審計和管理的要求。
三、跳板機的介紹
由於堡壘機也是跳板機演變過來,所以這裡不得不提一下跳板機,便於加深印象與瞭解。
跳板機,是一種用於單點登陸的主機應用系統。2000年左右,高階行業使用者為了對運維人員的遠端登入進行集中管理,會在機房裡部署跳板機。跳板機就是一臺伺服器,維護人員在維護過程中,首先要統一登入到這臺伺服器上,然後從這臺伺服器再登入到目標裝置進行維護。但跳板機並沒有實現對運維人員操作行為的控制和審計,使用跳板機過程中還是會有誤操作、違規操作導致的操作事故,一旦出現操作事故很難快速定位原因和責任人。此外,跳板機存在嚴重的安全風險,一旦跳板機系統被攻入,則將後端資源風險完全暴露無遺。同時,對於個別資源(如telnet)可以通過跳板機來完成一定的內控,但是對於更多更特殊的資源(ftp、rdp等)來講就顯得力不從心了。
四、堡壘機的主要功用
1、自動化操作
有效提高運維效率的關鍵,可以讓堡壘機自動幫助運維人員執行大量、重複的常規操作,提高運維效率。
2、操作審計
解決操作事故責任認定的問題,確保事故發生後,能快速定位操作者和事故原因,還原事故現場和舉證。
3、訪問控制
解決操作者合法訪問操作資源的問題,通過對資源的嚴格控制,確保操作者在其賬號有效許可權和期限內合法訪問操作資源,降低操作風險。
4、身份管理
解決操作者身份唯一的問題,身份唯一性的確定,是操作行為管理的基礎,將確保操作管理的各項內容成為有根之本。
5、集中管理
解決操作分散、無序的問題,管理的模式決定了管理的有效性,對操作進行集中統一的管理,是解決運維操作管理諸多問題的前提與基礎。
五、三種堡壘機介紹
1、軟體堡壘機
自己公司部署的話,建議採用軟體堡壘機,自己可以按照價格、效能以及自己的需求去進行部署。
目前較為常用的有
(1).Jumpserver
(2).CrazyEye
(3).×××
(4).GateOne
(5).xrdp
2.硬體堡壘機
一些堡壘機廠商將自己軟體嵌入硬體伺服器,稱之為硬體堡壘機。這類堡壘機不需要自己動手去才採購相應的伺服器、且廠商也提供了相應的保障服務。
較為知名的廠商如:齊治、思福迪、帕拉迪、聖博潤、尚思卓越、綠盟、 科友
3.雲堡壘機
(1)雲堡壘機概念
雲堡壘機是一款針對雲主機、雲資料庫、網路裝置等的運維許可權、運維行為進行管理和審計的工具。主要解決雲上IT運維工作中作業系統賬號複用、資料洩露、運維許可權混亂、運維過程不透明等難題。
雲堡壘機可以對運維行為進行阻斷和控制,所有運維、開發人員對伺服器的登入、命令、檔案傳輸等都必須是合法的,否則將會被阻斷。
此外,雲堡壘機針對運維人員的合法的操作行為,也行進行完整的錄影,方便事後審計分析。
(2)功能
使用者管理:運維使用者實名認證;運維的唯一憑證;臨時賬號自動停用;使用者登陸源管理
認證管理:內嵌認證引擎,確保身份真實可靠;支援簡訊認證;支援動態口令認證;支援usbkey認證;支援AD/LDAP/radius
許可權管理:確保人和資產的授權最小化;命令阻斷和稽核;核心裝置雙人稽核;源IP地址控制;時間範圍控制
審計管理:真實還原運維過程;基於命令、鍵盤輸入等搜尋;檔案傳輸審計;運維過程回放,實時監控;符合法規的報表。
(3)選型與安裝
如下為某廠商的選型圖
1) 資產數:可以簡單理解成一個IP地址,一個雲伺服器有一個IP、多個系統賬號是屬於一個資產。 一個雲伺服器有兩個IP,算兩個資產。
2)併發數:指SSH、遠端桌面的TCP連線會話數。
我們推薦使用者按照上述表格設定雲伺服器,當然雲伺服器的配置也可以自定義,但請必須滿足以下最低要求:
1) 雲伺服器記憶體至少在1G以上;
2)雲伺服器資料盤至少在100G以上,僅支援單個數據盤。
轉載於:https://blog.51cto.com/babyhanggege/1910667