內容簡介:
1、遠程運維管理的概念。
2、從終端安全、賬號管理、身份認證、訪問控制、操作安全、操作審計、數據安全等方面,講述遠程運維管理中的安全問題。
什麼是遠程運維管理
遠程運維管理,分為“遠程”和“運維管理”兩部分,是指通過現代互聯網技術,實現非本地的運維管理:在家辦公、異地辦公、移動辦公等遠程辦公模式。
遠程運維管理的形式
遠程運維管理的接入方式有三種:直接映射、VPN登錄和VDI虛擬桌面。
從部署效率、成本和安全性這三個方面來衡量,公網直接發佈雖然效率最快,成本最低,但是其安全性也最差。另外兩種方式中VPN接入是相對成本較低且普遍採用的一種方式。
遠程運維管理的安全分為幾個層面?
一般來說,遠程運維管理的安全分為終端安全、賬號管理、身份認證、訪問控制、操作安全、操作審計、數據安全幾個層面。接下來我們進行詳細介紹。
(一)接入終端安全
遠程接入使用的終端分為公司統一配發和個人終端,根據公司的辦公設備使用管理規定,在域控接入、策略配置、反病毒終端的部署上都應滿足遠程接入的安全需求。對於允許使用個人PC或移動設備接入的員工,應安裝公司要求的反病毒終端以及遠程准入客戶端。
(二)賬號管理
需要通過VPN撥入辦公網絡的員工應首先提交遠程訪問的申請,申請至少包括申請原因、所需權限、部門負責人的審批,對於臨時開通的賬號應按需設置賬戶過期時間。
關於遠程運維的開通,在等級保護2.0標準中的安全運維管理部分中有明確的要求:
應嚴格控制遠程運維的開通,經過審批後才可開通遠程運維接口或通道,操作過程中應保留不可更改的審計日誌,操作結束後立即關閉接口或通道。
分配的賬號需要遵循如下原則:
● 強制的密碼複雜度策略
● 強制的密碼過期時間
● 賬戶失敗鎖定次數設置
● 強制開啟雙因素認證(MFA)
(三)VPN接入
VPN使用者無論身處何處,都可以隨時通過互聯網安全地通信。通過VPN來實現遠程辦公的商業價值非常吸引人,許多公司都開始制定自己的戰略,利用互聯網作為主要的傳輸媒介,甚至包括商業秘密數據的傳輸。
(四)身份認證
身份認證技術是在計算機網絡中確認操作者身份的過程而產生的有效解決方法,作為訪問控制的基礎,是解決主動攻擊威脅的重要防禦措施之一。
在實踐中,用戶身份認證的方法可以分為這三種:
(1)基於信息秘密的身份認證
根據你所知道的信息來證明你的身份(what you know ,你知道什麼 ) ;
(2)基於信任物體的身份認證
根據你所擁有的東西來證明你的身份(what you have ,你有什麼 ) ;
(3)基於生物特徵的身份認證
基於生物特徵的身份認證是以人體唯一的、可靠的、穩定的生物特徵(如指紋、虹膜、臉部、聲紋等)為依據,採用計算機的強大功能和網絡技術進行圖像處理和模式識別。它是一種可信度高而又難以偽造的認證方式。
值得注意的是:目前最常見的靜態密碼方式面臨失竊、爆破、社會工程學、鍵盤監聽等風險,因此雙因素認證也就成為了目前主流的認證方式。所謂雙因素就是將兩種認證方法結合起來,進一步加強認證的安全性,目前使用最為廣泛的雙因素有:
動態口令牌+ 靜態密碼
USB KEY + 靜態密碼
二層靜態密碼 等等。
有些系統為提高用戶體驗,僅僅在新設備的初次登陸時啟用雙因素認證,之後則依託設備指紋、風控系統,實現已登陸過(已授權)設備的單一認證。
(五)訪問控制
訪問控制是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術,訪問控制通常用於系統管理員控制用戶對服務器、目錄、文件等網絡資源的訪問。
(六)操作安全
運維服務器環境通過堡壘機實現服務器的安全運維,所有變更操作都必須有通過審批的變更申請單,所有操作遵循標準作業流程(SOP)。
(七)操作審計
設備能夠對字符串、圖形、文件傳輸、數據庫等全程操作行為審計;通過設備錄像方式實時監控運維人員對操作系統、安全設備、網絡設備、數據庫等進行的各種操作,對違規行為進行事中控制。對終端指令信息能夠進行精確搜索和錄像精確定位,可用於安全分析、資源變更追蹤以及合規性審計等場景。
● 安全分析:操作審計會對用戶操作進行詳細的記錄,通過這些操作記錄可以判斷賬號是否存在安全問題。
● 資源變更追蹤:當資源出現異常變更時,操作審計記錄可以定位原因。通過操作審計定位操作者、何時進行的操作以及通過哪個IP地址發起的操作。
● 合規性審計:操作審計可以滿足用戶所在組織的合規性審計,獲取每個成員的詳細操作記錄。
(八)數據安全
遠程運維用戶基於開放的互聯網訪問應用系統,由於加密算法強度、密鑰失竊等問題,可能會造成配置操作數據被攻擊者破解或篡改,別有用心的運維人員甚至可能會通過截圖等方式竊取核心IT資產的關鍵配置信息。
數據安全治理以“數據安全使用”為願景,覆蓋安全防護、敏感信息管理、合規三大目標。通過對數據的分級分類、使用狀況梳理、訪問控制以及定期的稽核,實現數據的使用安全。
● 數據梳理:通過數據梳理,瞭解企業的核心數據資產在哪裡,誰在使用。
● 數據訪問控制:通過數據訪問控制,實現敏感數據在不同場景中的安全。
● 數據安全稽核:通過數據使用的定期稽核,瞭解數據使用的合規性與安全狀況。
閱讀更多 BespinGlobal 的文章
