運維安全兩大難題
隨著企事業單位IT系統的不斷髮展,網絡規模和設備數量迅速擴大,IT系統日趨複雜,不同背景運維人員的行為給信息系統安全帶來較大風險,主要表現在:
- 缺少統一的權限管理平臺,權限管理日趨繁重和無序;而且維護人員的權限大多是粗放管理,無法基於最小權限分配原則的用戶權限管理,難以實現更細粒度的命令級權限控制,系統安全性無法充分保證。
- 無法制定統一的訪問審計策略,審計粒度粗。各網絡設備、主機系統、數據庫是分別單獨審計記錄訪問行為,由於沒有統一審計策略,並且各系統自身審計日誌內容深淺不一,難以及時通過系統自身審計發現違規操作行為和追查取證。
什麼是堡壘機
堡壘機是在一個特定的網絡環境下,為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞,而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動,以便集中報警、及時處理及審計定責,有效解決了運維安全兩大難題。
堡壘機本質上可以看作用於防禦攻擊的計算機,又被稱為"堡壘主機"。堡壘機是一個主機系統,其自身通常經過了一定的加固,具有較高的安全性,可抵禦一定的攻擊。堡壘機將需要保護的信息系統資源與安全威脅的來源進行隔離,從而在被保護的資源前面形成一個堅固的"堡壘",並且在抵禦威脅的同時又不影響普通用戶對資源的正常訪問,堡壘機還集成了行為審計和權限控制,從而加強了對操作和安全的控制。
堡壘機分類
根據實際使用場景的不同和業務需要,堡壘機主要分為網關型堡壘機和運維審計型堡壘機。
- 網關型堡壘機
網關型堡壘機主要部署在外部網絡和內部網絡之間,本身不直接向外部提供服務,而是作為進入內部網絡的一個檢查點,用於提供對內部網絡特定資源的安全訪問控制。
網關型堡壘機不提供路由功能,將內外網從網絡層隔離開來,除授權訪問外,還可以過濾掉一些針對內網的、來自應用層以下的攻擊,為內部網絡資源提供了一道安全屏障。但由於此類堡壘機需要處理應用層的數據內容,性能消耗很大,所以隨著網絡進出口處流量越來越大,部署在網關位置的堡壘機逐漸成為了性能瓶頸,因此,網關型的堡壘機逐漸被日趨成熟的防火牆、UTM、IPS、網閘等安全產品所取代。
- 運維審計型堡壘機
運維審計型堡壘機,也被稱作"內控堡壘機",這類堡壘機也是當前應用最為普遍的一種。運維審計型堡壘機被部署在內網中服務器和網絡設備等核心資源的前面,對運維人員的操作權限進行控制和操作行為審計。
運維審計型堡壘機即解決了運維人員權限難以控制混亂局面,又可對違規操作行為進行控制和審計,而且由於運維操作本身不會產生大規模的流量,堡壘機不會成為性能的瓶頸,所以堡壘機作為運維操作審計的手段得到了快速發展。
堡壘機運維審計工作原理
堡壘機運維操作審計的工作原理示意圖如下所示:
堡壘機的用戶通常包括:管理人員、運維操作人員、審計人員三類用戶。
- 管理員根據相應的安全策略和運維人員應有的操作權限來配置堡壘機的安全策略。堡壘機管理員登錄堡壘機後,在堡壘機內部,【策略管理】組件負責與管理員進行交互,並將管理員輸入的安全策略存儲到堡壘機內部的策略配置庫中。
- 【應用代理】組件是堡壘機的核心,負責中轉運維操作用戶的操作並與堡壘機內部其他組件進行交互。【應用代理】組件收到運維人員的操作請求後調用【策略管理】組件對該操作行為進行核查,核查依據便是管理員已經配置好的策略配置庫,如此次操作不符合安全策略,【應用代理】組件將拒絕該操作行為的執行。
- 運維人員的操作行為通過【策略管理】組件的核查驗證之後,【應用代理】組件則代替運維人員連接目標設備完成相應操作,並將操作返回結果返回給對應的運維操作人員;同時,此次操作過程被提交給堡壘機內部的【審計模塊】,然後此次操作過程被記錄到審計日誌數據庫中。
- 最後,當需要調查運維人員的歷史操作記錄時,由審計員登錄堡壘機進行查詢,然後【審計模塊】從審計日誌數據庫中讀取相應日誌記錄並展示在審計員交互界面上。
堡壘機運維審計工作流程
運維審計型堡壘機對於運維操作人員相當於一臺代理服務器(Proxy Server),其工作流程示意圖如下所示:
運維人員在操作過程中首先連接到堡壘機,然後向堡壘機提交操作請求,該請求通過堡壘機的權限檢查後,堡壘機的應用代理模塊將代替用戶連接到目標設備完成該操作,之後目標設備將操作結果返回給堡壘機,最後堡壘機再將操作結果返回給運維操作人員。
通過這種方式,堡壘機邏輯上將運維人員與目標設備隔離開來,建立了從“運維人員->堡壘機用戶賬號->授權->目標設備賬號->目標設備”的管理模式,解決操作權限控制和行為審計問題的同時,也解決了加密協議和圖形協議等無法通過協議還原進行審計的問題。
堡壘機作用
堡壘機作為集中訪問入口和操作審計的保障,提供了一套多維度的運維操作權限管理與審計解決方案,使得管理人員可以全面對各種資源(如網絡設備、服務器、安全設備和數據庫等)進行集中賬號管理、細粒度的權限管理和訪問審計,幫助企業提升內部風險控制水平。
閱讀更多 樂山網警巡查執法 的文章
