现阶段,各行各业无不在信息资产方面增加投入,以确保基础网络、业务系统、数据资产和信息安全方面的需要。与此同时,信息化建设的重点已经由原来的基础建设向深化应用、安全运维方面发生转变。
随着防火墙、入侵防御系统等安全产品的广泛使用,网络已经具备了抵抗外部入侵的能力,但堡垒往往是在内部被攻破的。由于设备和服务器众多,账号管理混乱,授权不清、各种越权访问、误操作、滥用、恶意破坏等情况时有发生。在对网络造成严重损害的案例中,大多数是企业内部人员所为。
现今运维安全管理面临的困境:
- 信息系统维护人员构成复杂,身份认证不充分;
- 运维人员权限划分粗粒度,与职能不符;
- 资产账号信息管理存在巨大的安全隐患;
- 高危操作无法及时进行发现和阻断;
- 图片协议、加密协议无法审计,造成操作审计不完全;
- 重要信息系统的合规要求逐渐增加。
面临以上困境,可部署堡垒机来进行有效防御。
1. 什么是堡垒机?
简单点来说,堡垒机是一个审计设备,所谓审计,就是记录日志的意思。它审计和记录的就是IT运维人员对服务器、网络设备等IT资产的运维操作,即运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
2. 堡垒机的价值
(1) 集中账号管理
基于唯一身份标识的全局管理 ,实现了单点登录,任何运维人员都无法绕过堡垒机。统一账号管理策略,实现与各服务器、网络设备等无缝连接。
(2) 集中授权管理
细粒度的命令级授权策略,针对运维人员、服务器、服务器账号、服务器应用、访问时间等多个因素设定细粒度的授权策略,使得运维人员的权限得到很细的划分,从而杜绝了运维人员权限不明晰的问题。
(3) 集中认证管理
堡垒机审计系统提供了多种认证方式,包括:本地认证、证书认证、RADIUS认证。集中认证有效地将非法用户或非授权用户拒之门外,就像一座堡垒坚不可破。
(4)集中操作审计
基于唯一身份标识,全程审计用户对从登录到退出的操作行为,使得事后的审计和责任的定位有了可靠有力的根据。
3. 管控对象
4. 堡垒机主要功能
(1) 单点登录
堡垒机提供了基于 B/S 的单点登录系统,运维人员通过一次登录系统后,就可直接对多种基于 B/S 和 C/S 的应用系统,而无需再次认证过程。
(2) 集中账号管理
集中账号管理包含对所有服务器、网络设备账号的集中管理。通过统一的管理还能够发现账号中存在的安全隐患,并且制定统一的、标准的用户账号安全策略。
(3) 身份认证
采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。
(4) 资源授权
堡垒机提供统一的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。
系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以限制用户的操作,以及在什么时间进行操作等的细粒度授权。
(5) 访问控制
访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好地提高系统的安全性。
(6) 操作审计
在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后,操作审计能更好地对账号的完整使用过程进行追踪。