在规模较大的企业中担任过运维岗位的同行应该都有体会,企业内部运维管理混乱是极为普遍的状况。人员规模一旦扩大,就会产生多人共用同一个账号,或者一个人操作多个账号的情形,日积月累必然会加大账号外泄的隐患,同时也容易引发一些违规操作行为,对企业信息安全构成严重威胁。因此运维从业者都深刻理解堡垒机所承载的特殊价值,堡垒机的部署也逐渐普及开来。那么,堡垒机到底是做什么用的?下面一同来认识一下吧!
跳板机
1. 跳板机概述
跳板机实质上是一台中转服务器,运维人员在日常维护中需要先统一登录到这台服务器,再由其跳转登录到目标设备开展维护和操作;在腾讯内部,跳板机是研发人员访问服务器的唯一入口,开发者必须先登录跳板机,再借助跳板机接入应用服务器。
2. 跳板机的验证方式
采用 固定密码 + 证书 + 动态验证码 的三重认证机制
作用: 保障业务机器的安全性;借助证书防止身份冒充,借助动态token避免证书遗失后的身份盗用,最大程度确保安全;
- 证书: Certificate 证书为文本格式,长度为 2048bit;是应用登录机器时的唯一身份标识,每位用户有且仅有一份证书。
- 固定密码: 分配 LDAP 账号时,同步分配一个固定密码
- 动态验证码(token): 是一组 6 位数字串,每条动态验证码有效时长为 3 分钟。
3. 跳板机的优缺点
优点: 统一管理
缺点: 未实现对运维人员操作行为的管控与审计,使用跳板机期间仍会发生误操作、违规操作引发的事故,一旦发生操作事故很难迅速定位原因和责任人。
4. 运维理念
- 审计属于事后行为,能够发现问题及责任人,但无法阻止问题发生;
- 只有事前严格管控,才能从根源上真正解决问题;
- 系统账号的作用仅是区分工作角色,但无法验证用户身份;
- 凡是机器能完成的,就不要让人去做;
运维堡垒机
1. 堡垒机概述
1)堡垒机的理念源于跳板机;
2)堡垒机的功能:统一管理 是前提;身份管理 是基础;访问控制 是手段;操作审计 是保障;自动化 是目标。
3)堡垒机通过中断终端对计算机网络和服务器资源的直接访问,采用协议代理的方式接管终端计算机对网络和服务器的访问。
2. 堡垒机作用
核心系统运维与安全审计管控;过滤和拦截非法访问、恶意攻击,阻断不合法命令,审计监控、告警、责任追溯;告警、记录、分析、处理;
3. 堡垒机核心功能
1)单点登录功能
支持对 X11、Linux、Unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改,简化密码管理,让使用者无需记忆大量系统密码,即可实现自动登录目标设备,便捷且安全。
2)账号管理
支持统一账户管理策略,能够实现对全部服务器、网络设备、安全设备等账号进行集中管理,完成对账号全生命周期的监控,并且可以对设备进行特殊角色设置,如:审计巡检员、运维操作员、设备管理员等自定义,以满足审计需求。
3)身份认证
提供统一的认证接口,对用户进行认证,支持身份认证模式包括动态口令、静态密码、硬件 key、生物特征等多种认证方式,设备具有灵活的定制接口,可以与其他第三方认证服务器直接结合安全的认证模式,有效提升了认证的安全性和可靠性。
4)资源授权
提供基于用户、目标设备、时间、协议类型、IP、行为等要素实现细粒度的操作授权,最大限度保护用户资源的安全。
5)访问控制
支持对不同用户制定不同策略,细粒度的访问控制能够最大程度保护用户资源的安全,严防非法、越权访问事件的发生;
6)操作审计
能够对字符串、图形、文件传输、数据库等安全操作进行行为审计;通过设备录像方式监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各类操作,对违规行为进行事中控制;对终端指令信息能够进行精确搜索,进行录像精准定位;
4. 堡垒机应用场景
1)多个用户使用同一账号
多出现在同一工作组中,由于工作需要,同时系统管理员账号唯一,因此只能多用户共享同一账号;如果发生安全事故,不仅难以定位账号的实际使用者和责任人,而且无法对账号的使用范围进行有效控制,存在较大的安全风险和隐患;
2)一个用户使用多个账号
当前一个维护人员使用多个账号是较为普遍的情况,用户需要记忆多套口令同时在多套主机系统、网络设备之间切换,降低工作效率,增加工作复杂度;
3)缺少统一的权限管理平台,难以实现更细粒度的命令权限控制
维护人员的权限大多是粗放管理,无基于最小权限分配原则的用户权限管理,难以实现更细粒度的命令权限控制,系统安全性无法充分保障;
4)无法制定统一的访问审计策略,审计粒度粗
各个网络设备、主机系统、数据库是分别单独审计记录访问行为,由于没有统一审计策略,而且各系统自身审计日志内容深浅不一,难以及时通过系统自身审计发现违规操作行为和追查取证;
5)传统的网络安全审计系统无法对维护人员经常使用的 SSH、RDP 等加密、图形操作协议进行内容审计
5. 目标价值
1)目标
堡垒机的核心思路是逻辑上将人与目标设备隔离,建立”人 → 主账号(堡垒机用户账号)→ 授权 → 从账号(目标设备账号)”的模式;在这种模式下,基于唯一身份标识,通过集中管控安全策略的账号管理、授权管理和审计,建立针对维护人员的”主账号 → 登录 → 访问操作 → 退出”的全过程完整审计管理,实现对各种运维加密/非加密、图形操作协议的命令级审计。
2)系统价值
堡垒机的作用主要体现在下述几个方面:
- 企业角度: 通过细粒度的安全管控策略,保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行,降低人为安全风险,避免安全损失,保障企业效益。
- 管理员角度: 所有运维账号的管理在一个平台上进行管理,账号管理更加简单有序;通过建立用户与账号的唯一对应关系,确保用户拥有的权限是完成任务所需的最小权限;直观方便的监控各种访问行为,能够及时发现违规操作、权限滥用等。鉴于多账号同时使用超管进行的操作,便于实名制的认证和自然人的关联。
- 普通用户角度: 运维人员只需记忆一个账号和口令,一次登录,便可实现对其所维护的多台设备的访问,无须记忆多个账号和口令,提高了工作效率,降低工作复杂度。
6. 应用
一种用于单点登录的主机应用系统,目前电信、移动、联通三大运营商广泛采用堡垒机来完成单点登录和萨班斯要求的审计。在银行、证券等金融行业机构也广泛采用堡垒机来完成对财务、会计操作的审计。在电力行业的双网改造项目后,采用堡垒机来解决双网隔离之后跨网访问的问题,能够很好地解决双网之间访问的安全问题。
原创文章,作者:余初云,如若转载,请注明出处:https://blog.jidcy.com/jsjc/2805.html
