百度了好久,翻了好幾頁,也沒有把跳板機和堡壘機講明白,知道看到了這篇:原文鏈接:http://blog.51cto.com/3436673/1761000,纔算是把堡壘機和跳板機搞明白,推薦給大家!!!!
https://www.cnblogs.com/tiger-fu/p/9081078.html
跳板機
1.跳板機簡介
跳板機就是一臺服務器,運維人員在維護過程中首先要統一登錄到這臺服務器,然後再登錄到目標設備進行維護和操作;
在騰訊,跳板機是開發者登錄到服務器的唯一途徑,開發者必須先登錄跳板機,再通過跳板機登錄到應用服務器。
2.跳板機的驗證方式
1)固定密碼
2)證書+固定密碼+動態驗證碼三重認證方式(騰訊)
作用:a.保護業務機器的安全;
b.通過證書避免身份僞造,通過動態token避免證書丟失後的身份假冒,最大限度的保證安全性;
證書:Certificate證書爲文本格式,長度爲2048bit;是應用登錄到機器上的唯一身份標識,每個用戶有且僅有一個證書;
固定密碼:分配LDAP賬號時,同時也會分配一個固定密碼
動態驗證碼(token):是一個6位數的數字串,每個動態驗證碼有效期3分鐘;
參考(騰訊客服):http://kf.qq.com/faq/120322fu63YV130422RZbMrY.html
3.跳板機的優勢和不足:
1)優勢:集中管理
2)不足:
沒有實現對運維人員操作行爲的控制和審計,使用跳板機的過程中還是會出現誤操作、違規操作導致的事故,一旦出現操作事故很難快速定位到原因和責任人;
4.運維思想:
1)審計是事後行爲,可以發現問題及責任人,但無法防止問題發生;
2)只有事先嚴格控制,才能從源頭真正解決問題;
3)系統賬號的作用只是區分工作角色,但無法確認用戶身份;
4)只要是機器能做的,就不要人去做;
運維堡壘機
1.堡壘機簡介
1)堡壘機的理念起於跳板機;
2005年齊治科技研發出世界第一臺運維堡壘機;(齊治科技官網http://www.shterm.com/)
2)齊治科技堡壘機:
集中管理是前提;
身份管理是基礎;
訪問控制是手段;
操作審計是保證;
自動化是目標。
具體怎麼實現呢?------有待研究。。。
3)堡壘機是通過切斷終端對計算機網絡和服務器資源的直接訪問,採用協議代理的方式接管終端計算機對網絡和服務器的訪問;
2.堡壘機作用
1)核心系統運維和安全審計管控;
2)過濾和攔截非法訪問、惡意攻擊,阻斷不合法命令,審計監控、報警、責任追蹤;
3)報警、記錄、分析、處理;
3.堡壘機核心功能
1)單點登錄功能
支持對X11、Linux、Unix、數據庫、網絡設備、安全設備等一系列授權賬號進行密碼的自動化週期更改,簡化密碼管理,讓使用者無需記憶衆多系統密碼,即可實現自動登錄目標設備,便捷安全;
2)賬號管理
設備支持統一賬戶管理策略,能夠實現對所有服務器、網路設備、安全設備等賬號進行集中管理,完成對賬號整個生命週期的監控,並且可以對設備進行特殊角
設置,如:審計巡檢員、運維操作員、設備管理員等自定義,以滿足審計需求;
3)身份認證
設備提供統一的認證接口,對用戶進行認證,支持身份認證模式包括動態口令、靜態密碼、硬件key、生物特徵等多種認證方式,設備具有靈活的定製接口,可以與其他第三方認證服務器直接結合;
安全的認證模式,有效提高了認證的安全性和可靠性;
4)資源授權
設備提供基於用戶、目標設備、時間、協議類型IP、行爲等要素實現細粒度的操作授權,最大限度保護用戶資源的安全;
5)訪問控制
設備支持對不同用戶進行不同策略的制定,細粒度的訪問控制能夠最大限度的
保護用戶資源的安全,嚴防非法、越權訪問事件的發生;
6)操作審計
設備能夠對字符串、圖形、文件傳輸、數據庫等安全操作進行行爲審計;通過設備錄像方式監控運維人員對操作系統、安全設備、網絡設備、數據庫等進行的各種操作,對違規行爲進行事中控制;對終端指令信息能夠進行精確搜索,進行錄像精確定位;
4.堡壘機應用場景
1)多個用戶使用同一賬號
多出現在同一工作組中,由於工作需要,同時系統管理員賬號唯一,因此只能多用戶共享同一賬號;如果發生安全事故,不僅難以定位賬號的實際使用者和責任人,而且無法對賬號的使用範圍進行有效控制,存在較大的安全風險和隱患;
2)一個用戶使用多個賬號。
目前一個維護人員使用多個賬號時較爲普遍的情況,用戶需要記憶多套口令同時在多套主機系統、網絡設備之間切換,降低工作效率,增加工作複雜度;
3)缺少統一的權限管理平臺,難以實現更細粒度的命令權限控制。
維護人員的權限大多是粗放管理,無基於最小權限分配原則的用戶權限管理,難以實現更細粒度的命令權限控制,系統安全性無法充分保證;
4)無法制定統一的訪問審計策略,審計粒度粗。
各個網絡設備、主機系統、數據庫是分別單獨審計記錄訪問行爲,由於沒有統一審計策略,而且各系統自身審計日誌內容深淺不一,難以及時通過系統自身審計發現違規操作行爲和追查取證;
5)傳統的網路安全審計系統無法對維護人員經常使用的SSH、RDP等加密、圖形操作協議進行內容審計。
5.目標價值
1)目標
堡壘機的核心思路是邏輯上將人與目標設備分離,建立“人-〉主賬號(堡壘機用戶賬號)-〉授權—>從賬號(目標設備賬號)的模式;在這種模式下,基於唯一身份標識,通過集中管控安全策略的賬號管理、授權管理和審計,建立針對維護人員的“主賬號-〉登錄—〉訪問操作-〉退出”的全過程完整審計管理,實現對各種運維加密/非加密、圖形操作協議的命令級審計。
2)系統價值
堡壘機的作用主要體現在下述幾個方面:
企業角度
通過細粒度的安全管控策略,保證企業的服務器、網絡設備、數據庫、安全設備等安全可靠運行,降低人爲安全風險,避免安全損失,保障企業效益。
管理員角度
所有運維賬號的管理在一個平臺上進行管理,賬號管理更加簡單有序;
通過建立用戶與賬號的唯一對應關係,確保用戶擁有的權限是完成任務所需的最小權限;
直觀方便的監控各種訪問行爲,能夠及時發現違規操作、權限濫用等。
鑑於多賬號同時使用超管進行的操作,便於實名制的認證和自然人的關聯。
普通用戶角度
運維人員只需記憶一個賬號和口令,一次登錄,便可實現對其所維護的多臺設備的訪問,無須記憶多個賬號和口令,提高了工作效率,降低工作複雜度。
6.應用
一種用於單點登陸的主機應用系統,目前電信、移動、聯通三個運營商廣泛採用堡壘機來完成單點登陸和薩班斯要求的審計。
在銀行、證券等金融業機構也廣泛採用堡壘機來完成對財務、會計操作的審計。
在電力行業的雙網改造項目後,採用堡壘機來完成雙網隔離之後跨網訪問的問題,能夠很好的解決雙網之間的訪問的安全問題。
7.相關廠商
目前,已經有相當多的廠商開始涉足這個領域,如:思福迪、帕拉迪、聖博潤、尚思卓越、綠盟、[3]科友、齊治、金萬維、極地、派拉等,這些都是目前行業裏做的專業且受到企業用戶好評的廠商,但每家廠商的產品所關注的側重又有所差別。
以某運維安全審計產品爲例,其產品更側重於運維安全管理,它集單點登錄、賬號管理、身份認證、資源授權、訪問控制和操作審計爲一體的新一代運維安全審計產品,它能夠對操作系統、網絡設備、安全設備、數據庫等操作過程進行有效的運維操作審計,使運維審計由事件審計提升爲操作內容審計,通過系統平臺的事前預防、事中控制和事後溯源來全面解決企業的運維安全問題,進而提高企業的IT運維管理水平。
8.堡壘機功能
1)身份認證及授權管理
健全的用戶管理機制和靈活的認證方式
爲解決企業IT系統中普遍存在的因交叉運維而存在的無法定責的問題,堡壘機提出了採用“集中賬號管理“的解決辦法;集中帳號管理可以完成對帳號整個生命週期的監控和管理,而且還降低了企業管理大量用戶帳號的難度和工作量。同時,通過統一的管理還能夠發現帳號中存在的安全隱患,並且制定統一的、標準的用戶帳號安全策略。針對平臺中創建的運維用戶可以支持靜態口令、動態口令、數字證書等多種認證方式;支持密碼強度、密碼有效期、口令嘗試死鎖、用戶激活等安全管理功能;支持用戶分組管理;支持用戶信息導入導出,方便批量處理。
2)細粒度、靈活的授權
系統提供基於用戶、運維協議、目標主機、運維時間段(年、月、日、周、時間)等組合的授權功能,實現細粒度授權功能,滿足用戶實際授權的需求。授權可基於:用戶到資源、用戶組到資源、用戶到資源組、用戶組到資源組。
單點登錄功能是運維人員通過堡壘機認證和授權後,堡壘機根據配置策略實現後臺資源的自動登錄。保證運維人員到後臺資源帳號的一種可控對應,同時實現了對後臺資源帳號的口令統一保護與管理。系統提供運維用戶自動登錄後臺資源的功能。堡壘機能夠自動獲取後臺資源帳號信息並根據口令安全策略,定期自動修改後臺資源帳號口令;根據管理員配置,實現運維用戶與後臺資源帳號相對應,限制帳號的越權使用;運維用戶通過堡壘機認證和授權後,SSA根據分配的帳號實現自動登錄後臺資源。
9.運維事件事中控制
1)實時監控
監控正在運維的會話,信息包括運維用戶、運維客戶端地址、資源地址、協議、開始時間等:監控後臺資源被訪問情況,提供在線運維操作的實時監控功能。針對命令交互性協議,可以實時監控正在運維的各種操作,其信息與運維客戶端所見完全一致。
2)違規操作實時告警與阻斷
針對運維過程中可能存在的潛在操作風險,SSA根據用戶配置的安全策略實施運維過程中的違規操作檢測,對違規操作提供實時告警和阻斷,從而達到降低操作風險及提高安全管理與控制的能力。對於非字符型協議的操作能夠實時阻斷;
字符型協議的操作可以通過用戶配置的命令行規則進行規則匹配,實現告警與阻斷。告警動作支持權限提升、會話阻斷、郵件告警、短信告警等。
10.運維事件事後審計
1)對常見協議能夠記錄完整的會話過程
堡壘機能夠對日常所見到的運維協議如SSH/FTP/Telnet/SFTP /Http/Https/RDP/X11/VNC等會話過程進行完整的記錄,以滿足日後審計的需求;審計結果可以錄像和日誌方式呈現,錄像信息包括運維用 戶名稱、目標資源名稱、客戶端IP、客戶端計算機名稱、協議名、運維開始時間、結束時間、運維時長等信息
2)詳盡的會話審計與回放
運維人員操作錄像以會話爲單位,能夠對用戶名、日期和內容進行單項查詢和組合式查詢定位。組合式查詢則按運維用戶、運維地址、後臺資源地址、協議、起始時間、結束時間和操作內容中關鍵字等組合方式進行;針對命令字符串方式的協議,提供逐條命令及相關操作結果的顯示:提供圖像形式的回放,真實、直觀、可視地重現當時的操作過程;回放提供快放、慢放、拖拉等方式,針對檢索的鍵盤輸入的關鍵字能夠直接定位定位回放;針對RDP、X11、VNC協議,提供按時間進行定位回放的功能。
3)豐富的審計報表功能
堡壘機系統平臺能夠對運維人員的日常操作、會話已經管理員對審計平臺進行的操作配置或者是報警次數等做各種報表統計分析。報表包括:日常報表、會話報表、自審計操作報表、告警報表、綜合統計報表,並可根據個性需求設計和展現自定義報表。以上報表可以EXCEL格式輸出,並且可以以折線、柱狀、圓餅圖等圖形方 式展現出來。
4)應用發佈
針對用戶獨特的運維需求,堡壘機推出了業界虛擬桌面主機安全操作系統設備,通過其配合堡壘機進行審計能夠完全達到審計、控制、授權的要求,配合此產品,可實現對數據庫維護工具、pcAnywhere、DameWare等不同工具的運維操作進行監控和審計。
11.特點
平臺採用協議分析、基於數據包還原虛擬化技術,實現操作界面模擬,將所有的操作轉換爲圖形化界面予以展現,實現100%審計信息不丟失:針對運維操作圖形化 審計功能的展現外,同時還能對字符進行分析,包括命令行操作的命令以及回顯信息和非字符型操作時鍵盤、鼠標的敲擊信息。
系統支持的審計協議以及工具包括:
字符串操作:SSH/Telnet(工具:SecureCRT/Putty/Xshell)
圖形操作:RDP/VNC/X11/pcAnywhere/DameWare等
其他協議:FTP/SFTP/Http/Https等
數據庫工具:Oracle/sqlserver/Mysql客戶端工具
字符串操作:SSH/Telnet(工具:SecureCRT/Putty/Xshell)
圖形操作:RDP/VNC/X11/pcAnywhere/DameWare等
其他協議:FTP/SFTP/Http/Https/SQLPLUS等
平臺具有豐富的報表統計功能,可以進行默認報表和自定義報表來進行運維數據的報表統計。
平臺提供多種報表格式,包括Word、Excel等。
平臺提供折線、餅狀、柱狀等多種圖表統計運維數據,方便後期的運維分析和管理。
平臺對用戶的管理權限嚴格分明,各司其職,分爲系統管理員、審計管理員、運維管理員、口令管理員四種管理員角色,平臺也支持管理員角色的自定義創建,對管理權限進行細粒度設置,保障了平臺的用戶安全管理,以滿足審計需求
平臺集用戶管理、身份認證、資源授權、訪問控制、操作審計爲一體,有效地實現了事前預防、事中控制和事後審計。
審計平臺能夠對常見的SSH/Telnet/FTP/SFTP/HTTP/HTTPS/Windows Terminal/X11、VNC協議進行完整的透明轉發,針對如RDP/VNC/X11等圖形化協議的處理能力要比同類產品處理能力強。
平臺採用模塊化設計,單模塊故障不影響其他模塊使用,從而提高了平臺的健壯性、穩定性
運維人員登陸可支持Portal統一登錄,併兼容終端C/S客戶端連接設備;
審計平臺的認證方式可以與第三方的認證設備進行定製兼容
具有強大研發實力,不但能爲客戶提供長期的產品更新,還能按照客戶的實際需求進行定製開發。
堡壘機提供了功能完善、操作靈活、使用方便、界面友好、符合習慣的審計管理功能;B/S方式實現了對後臺的各項管理配置
平臺簡單易部署,通過配置導航,可在短時間內完成配置要求,實現上線要求。
基於HTTPS/SSL的自身安全管理與審計;
嚴格的安全訪問控制和管理員身份認證支持強認證;
審計信息加密存儲;
完善的審計信息備份機制;
完整全面的自審計功能。
12.案例
客戶現狀及需求:
IT系統分散在總部以及全國各地的分支連鎖酒店,每個酒店所在的地區都有相應的技術人員進行系統運維;總部也有運維人員,對全國IT系統的總的運維質量負最終責任。
酒店實體越來越 多,總部的IT運維工作日益複雜,運維問題日益突出。一個最基礎的場景是:當某酒店的IT系統出現問題,當地的IT運維人員無法解決時,就會向總部發起求 助。而此時,總部的技術工程師根本無法獲悉最原始的問題,因爲原來的問題在經過分部的運維工程師的操作後,已經面目全非,還可能引入了新的問題,整個過程沒有記錄,沒有管控,找不到解決問題的線索。所以總部工程師迫切希望知道,從一開始問題的表象,到分支機構的運維人員的運維操作,都是怎麼一回事。除此之外,還有另外的一些運維問題列表如下:
1、運維人員管理手段落後,時無法定責,也無法對各方的運維工作本身的質量和數量進行有效考覈和評估。
2、設備賬戶管理缺失,該連鎖酒店的每一名運維人員都要負責多套信息系統的運維管理工作,同時,大多數情況下,某套信息系統往往要多個運維人員聯合管理。在這種情況下,口令丟失、登錄失敗、密碼被隨便修改等情況就時有發生。並且對第三方代維人員來說,也沒有更強的針對設備賬號的監測機制和有效的生命週期管理機制;
解決之道:
來進行統一認證,認證成功後對其具有權限的IT設備進行運維操作。整個運維過程全程錄像,並有危險操作的告警及阻斷功能。
通 過這種“跳板機”的解決方案,運維人員只需要記住一個口令就可以運維到被授權的設備,運維過程全程錄像,且可以對應到運維人員。使用運維審計集中管理客戶端軟件,分散在全國各地的酒店IT系統的運維錄像可以被總部的運維人員隨時查詢,還可以通過播放器進行遠程的錄像流暢播放。
客戶收益:
運 維安全審計堡壘平臺之後,所有的運維人員都以統一的用戶身份登入系統;所有的運維操作都被記錄;操作對應到實際的自然人而不是設備賬戶。在出現問題後,可以迅速的調出運維操作錄像進行查看,根據錄像進行問題的追本溯源,直接定位問題根源所在,爲解決IT系統的故障提供了寶貴的第一手資料。
在部署安全審計堡壘平臺之後,問題的解決時間平均縮短到一到兩個小時,數量級的提高了運維工作質量。另外,由於有錄像可以學習,交流和借鑑,從一定程度上,提高了所有運維人員的運維經驗。
客戶現狀及需求:
對 內部的運維管理安全而言,原有的手工管理措施已不能滿足目前及未來業務發展的要求。因此該銀行方面,依照國家相關的法規要求,遵照銀行業務系統自身的安全等級保護條例要求,提出建設服務器和設備訪問安全管理系統,使得系統和安全管理人員可以對信息系統的用戶和各種資源進行集中管理、集中權限分配、集中審計,從技術上保證信息系統安全策略的實施。具體而言,需要實現如下的功能需求:
1、賬戶的集中管理,並且對用戶能夠進行一定的權限劃分管理;
2、權限控制,能夠對用戶進行細粒度的權限控制,針對欲運維的目標設備進行用戶與設備關聯;
3、能夠在運維過程中,對違規信息提出告警、權限提升、阻斷等操作,及實現事中的實時審計管理;
4、對事後的審計錄像能夠做到回放、複式檢索、定位播放等便捷式操作;
解決之道:
該行選擇了某品牌堡壘機作爲其安全審計項目的承建方。
RBAC 角色授權機制打造,在設備管理中進行用戶的集中管理和用戶權限的有效劃分,如“三權”劃分(系統管理員權限、運維管理員權限、審計管理員權限),通過用戶 和設備的關聯管理實現對用戶的運維權限細分;然後通過一些安全策略的設置來降低違規操作對資源的破壞,即使出現問題能夠通過錄像查詢進行“事發現場”回 放,從而實現防範、控制、審計一條龍;具體的說,在該行的運維管理項目中,實現瞭如下幾點:
1、用戶進行集中管理的同時,也進行了相應的權限劃分,權限獨立分明;
2、能夠進行事前的防範,針對該行有大量第三方代維人員的情況,對其採取定製化的角色類型和訪問策略;
3、對設備資源的違規操作實現權限的提升、告警,發現嚴重違規操作,直接阻斷操作;(權限提升是指:某些指令需要更高級別角色的臨時授權才能執行。)
4、實現事後審計的方便快捷性,通過組合式錄像查詢定位,直接找到問題點;
客戶收益:
對內部運維人員的工作流程進行了相應的梳理,對其運維的IT系統和設備進行了責任的明確。事實上,這些約束和流程通過運維審計系統的約束,而變得更加明晰,業務數據的安全,以及IT系統的運維,有了一個明顯的提升。
而且,由於堡壘機產品遵照國際上流行的RBAC角色授權機制,以及P2DR安全模型,4A身份認證等安全防範體系建設,使得該行的信息系統安全保護等級有了一個質的飛躍。
問題描述:
無 法客觀的支付報酬;不但如此更嚴重的是在軟件開發的過程中,某軟件外包商的開發人員的誤操作導致證券機構的某些系統模塊突然沒有辦法正常使用,時間長達 10分鐘之久,結果10分鐘的時間損失上百萬,而且造成了很嚴重的負面影響,因爲沒有證據證明是軟件外包商所爲,所以,後果只能自己承擔;同時機構內部的運維管理也有一定的問題,如越權運維、誤操作、賬戶共享等運維問題也頻頻出現,所以如何做到運維能審計的同時也做到運維能管理是該機構信息中心主管迫切要解決的問題?
解決之道:
在 以後的證券機構開發的過程中,所有的運維、開發人員都必須經過一道“門”,這個“門”就是金萬維運維安全審計系統,所有的人首先登錄運維審計平臺中,然後根據設置的權限進行對目標設備的運維,且運維過程全程錄像;而且每個運維人員的每天、每週、每月的運維情況都可以通過報表、圖表進行統計,審計的同時做到了運維的管理;
客戶收益:
通 過部署運維安全審計系統,使證券機構的運維人員和第三方機構的外包開發人員都做了統一賬號管理,針對第三方開發人員的運維賬號,進行“生命週期”自動管 理,設定使用時間,過了使用時間之後第三方開發人員就無權再用此運維賬戶登錄,不但如此針對危險操作行爲證券機構也能夠設置安全策略,儘量把已知危險降到最低;在以後的開發過程中證券機構可以通過運維報表中的統計數據進行薪酬支付,對“矛盾”問題進行錄像回放,查找問題源;真正實現了運維審計的同時做到了 運維管理,爲證券機構信息化的建設做出了重大貢獻;
問題描述:
北京某知名互聯網IT企業一直致力於爲客戶提供數字媒體營銷領域的尖端科技和卓越服務,如SEM/SEO/移動互聯網廣告、軟件定製開發服務等隨着業務的增長規模的擴大,除了北京研發中心外,在上海和廣州也相繼成立了對內和對外研發團隊,公司運維的服務器有近百臺之多。
隨着研發人員的增多和服務器規模的增大,逐漸暴露了一些嚴峻的問題如賬號管理分散、越權運維、對外進行軟件定製開發過程無記錄、出現問題找不到責任人、對研發人員的每天、周的工作效率無從考覈等問題正在逐步影響到整個研發團隊的工作進度和計劃的安排;
解決之道:
北 京某知名互聯網IT企業找到我們之後,進行了現場交流分析,發現主要“癥結”在於研發人員除了在公司外,還經常在家,在外地登錄IT系統進行系統升級和維 護,同時,登錄賬號管理混亂、運維權限劃分不明、認證方式過於簡單、對運維過程沒有監控措施、對研發人員的運維次數沒有合理的運維統計方式;“對症下藥” 通過部署運維安全審計系統平臺後所有的研發人員都必須通過審計平臺進行“過濾”,合規人員才能進行有效的開發維護工作,對主要研發人員通過配置如身份認證加密卡等方式進行身份強認證,用戶操作在“過濾”的同時,都進行錄像審計,錄像內容一方面可以作爲“糾錯”來用,另一方面可以用來作爲“教材”來使;通過部署運維審計系統使其癥結問題迎刃而解,解決了研發人員不能解決的管理審計難題;
客戶收益:
運維審計系統的部署着實提高了研發隊伍的合規性,爲有效研發、安全研發提供了堅實保障;審計錄像作爲教材錄像、運維報表作爲考覈依據,爲研發團隊增加了新的培訓和KPI管理方法。無論從合規性出發還是整體信息化運維正規化建設都能有效的提高管理和工作效率。