...9日,省经济和信息化委软件与信息安全处副处长李少昆率领由中国...
冯东旭
[摘 要]堡垒机产品通过集中管控平台整合企业的运维行为管理,将运维操作集中可视化管控,通过基于唯一身份标识的集中账号与访问控制策略,实现与各服务器、网络设备、安全设备、数据库服务器等无缝连接,一站直达,降低多种设备类型带来的管理复杂度问题,快速发现和处置违规事件。本文针对堡垒机在郑煤集团应用情况进行了浅析,并根据日常运行中存在的问题提出了相应的意见。
[关键词]信息化 网络安全 堡垒机 应用;
中图分类号:TP393.08 文献标识码:A 文章编号:1009-914X(2017)31-0358-01
1、引言
随着信息化的发展,网络规模和设备数量迅速扩大,建设重点逐步从网络平台转向深化应用、提升效益为特征的运行维护阶段; IT系统运维与安全管理正逐渐走向融合。近年来数据安全事故频发,包括斯诺登事件、希拉里邮件丑闻以及德国核电站检测出恶意程序被迫关闭事件等,数据安全与防止泄露成为政府和企业都非常关心的议题,信息系统的安全运行直接关系企业效益,构建一个强健的IT运维安全管理體系对企业信息化的发展至关重要,对运维的安全性提出更高要求。
2、数据中心管理存在网络安全问题
目前, 面对日趋复杂的IT系统,不同背景的运维人员已给企业信息系统安全运行带来较大潜在风险,主要有:
2.1 账号管理无序,暗藏巨大风险
多个用户使用同一个账号,这种情况主要出现在同一工作组中,由于工作需要,同时系统管理账号唯一,因此只能多用户共享同一账号。如果发生安全事故,不仅难以定位账号的实际使用者和责任人,而且无法对账号的使用范围进行有效控制,存在较大安全风险和隐患。
一个用户使用多个账号。一个维护人员使用多个账号是较为普遍的情况, 用户需要记忆多套口令同时在多套主机系统、网络设备之间切换。如果设备数量达到几十甚至上百时,维护人员进行一项简单的配置,则需要分别逐一登录相关设备,其工作量和复杂度成倍增加,直接导致后果是工作效率低下、管理繁琐甚至出现误操作,影响系统正常运行。
2.2 粗放式权限管理,安全性难以保证
大多数企业单位的IT运维均采用设备、操作系统自身的授权系统,授权功能分散在各设备和系统中。管理人员的权限大多是粗放式管理,由于缺少统一的运维操作授权策略,授权粒度粗,无法基于最小权限分配原则管理用户权限,难以与业务管理要求相协调;因此,导致出现如:多个人员拥有相同系统管理员权限、权限过大和内部操作权限滥用等诸多问题,如果不及时解决,信息系统的安全性难以充分保证。
2.3 设备自身日志粒度粗,难以有效定位安全事件
在运维工作中,大多是通过各网络设备、操作系统的系统日志进行监控审计,但是由于各系统自身审计日志分散、内容深浅不一,且无法根据业务要求,制定统一审计策略;因此,难以及时通过系统自身审计发现违规操作行为和追查取证。
2.4 传统网络安全审计系统已无法满足运维审计和管理的要求
传统网络安全审计的技术实现方式和系统架构(主要通过旁路镜像或分光方式,分析网络数据包进行审计),导致该系统只能对一些非加密的运维操作协议进行审计,如telnet;却无法对维护人员经常使用的SSH、RDP等加密协议、远程桌面等进行内容审计, 无法有效解决对运维人员操作行为的监管问题。
2.5 基于IP的审计,难以准确定位责任人
大多数网络安全审计系统,只能审计到IP地址,难以将IP与具体人员身份准确关联,导致发生安全事故后,如何追查责任人,反而又成为新的难题。
3、堡垒机技术及应用分析
3.1 集中账号管理
堡垒机通过建立基于唯一身份标识的全局实名制管理,支持统一账号管理策略,实现与各服务器、网络设备等无缝连接,集中管理主账号(普通用户)、从账号(目标设备系统账号)及相关属性。
3.2 集中访问控制
堡垒机通过集中统一的访问控制和细粒度的命令级授权策略,确保用户拥有的权限是完成任务所需的最小权限,实现集中有序的运维操作管理,防止非法、越权访问事件发生。
3.3 集中安全审计
基于唯一身份标识,堡垒机通过对用户从登录到退出的全程操作行为审计,监控用户对被管理设备的所有敏感关键操作,提供分级告警,聚焦关键事件,实现对安全事件及时预警发现、准确可查。
堡垒机具有跨平台的运维行为管控能力,可覆盖多种主流主机操作系统、网络设备、数据库和运维协议。
3.4 堡垒机应用分析
堡垒机通过逻辑上将人与目标设备分离,建立“人->主账号(堡垒机用户账号)->授权->从账号(目标设备账号)->目标设备”的管理模式;在此模式下,通过基于唯一身份标识的集中账号与访问控制策略 ,与各服务器、网络设备等无缝连接,实现集中精细化运维操作管控与审计。
堡垒机采用“物理旁路,逻辑串联”的部署思路,主要通过两步实现:
通过配置交换机或需要管理设备的访问控制策略,只允许堡垒机的IP、协议及端口可以访问需要管理的设备。
将堡垒机连接到对应交换机,确保所有维护人员到堡垒机IP可达。
4.堡垒机运维管理策略
4.1 添加设备
管理员添加需要管理的设备。设备包括服务器、网络设备、安全设备、前置机、数据库服务器等维护对象,支持编辑相关设备信息包括设备类型、所属部门、设备名称、IP地址、协议类型、应用程序等。
4.2 添加从账号
管理员添加与设备对应的从账号(即设备的系统账号、数据库账号或WEB登录账号),包括账号名、口令等;其中口令可由堡垒机定期自动更新。
4.3 添加主账号
管理员添加主账号(即普通用户账号)。主账号是登录堡垒机,获取目标设备访问权的唯一账号,与实际用户身份一一对应,每个用户一个主账号,每个主账号只属于一个用户。
4.4 建立主账号到设备的访问控制与审计策略
基于访问权限策略,管理员建立基于“时间+主账号+目标设备+从账号+权限+审计”等要素的关联管理策略。
4.5 管理员配置行为全程审计
堡垒机自动记录管理员的设备管理、账号管理和权限管理等所有行为日志,以便审计员监控。
5、堡垒机应用中存在的问题
通过部署堡垒机,数据中心现在可完整审计运维人员通过账号“在什么时间登录什么设备、做什么操作、返回什么结果、什么时间登出”等行为,全面记录“运维人员从登录到退出”的整个过程,帮助管理人员及时发现权限滥用、违规操作,准确定位身份,以便追查取证。
在使用中也发现存在部分问题,主要为日常管理问题。部署堡垒机后,发现极个别管理人员在登录服务器时,不通过堡垒机登录,而是直接远程登录服务器,存在隐患。针对此问题,首先特别服务器远程登录策略,建立专用远程登录用户名,配置登录策略只能通过堡垒机IP地址和端口访问,超级管理员由数据中心班组长管理,策略仍然保持不变,供紧急情况使用。然后制定了管理规定,定期检查服务器及网络设备日志信息,查看远程登录用户情况,发现问题及时处理。通过技术手段和管理手段,杜绝了此类安全隐患发生。
6、小结
通过部署堡垒机产品,帮助企业建立面向用户的集中、有序、主动的运维安全管控平台,通过基于唯一身份标识的集中账号与访问控制策略,与各服务器、网络设备等无缝连接,实现集中精细化运维操作管控与审计, 降低人为安全风险,避免安全损失,保障企业效益。endprint
