產(chǎn)品別名:運(yùn)維管理審計(jì)系統(tǒng)。
1 產(chǎn)品概述
? ? ? ?運(yùn)維圈內(nèi)有這么一句話:70%故障來自內(nèi)部人員的操作失誤裳扯。
? ? ? ?企業(yè)里的運(yùn)維人員都掌握著數(shù)據(jù)應(yīng)用服務(wù)器的最高權(quán)限铜秆,一旦運(yùn)維操作出現(xiàn)安全問題誓琼,將為企業(yè)帶來巨大的損失。因此巍扛,加強(qiáng)對(duì)運(yùn)維人員的操作監(jiān)管领跛、操作審計(jì)、事前嚴(yán)格控制撤奸,才能從源頭真正解決問題吠昭。在這種情況下,針對(duì)運(yùn)維操作的管理與審計(jì)的堡壘機(jī)應(yīng)運(yùn)而生胧瓜,堡壘機(jī)能夠極大的保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性矢棚,使得企業(yè)內(nèi)部網(wǎng)絡(luò)管理合理化和專業(yè)化。
2 發(fā)展歷程
第一代堡壘機(jī)(跳板機(jī))
? ? ? ? 2000年左右府喳,高端行業(yè)用戶為了對(duì)運(yùn)維人員的遠(yuǎn)程登錄進(jìn)行集中管理蒲肋,會(huì)在機(jī)房里部署跳板機(jī)。跳板機(jī)就是一臺(tái)服務(wù)器钝满,維護(hù)人員在維護(hù)過程中兜粘,首先要統(tǒng)一登錄到這臺(tái)服務(wù)器上,然后從這臺(tái)服務(wù)器再登錄到目標(biāo)設(shè)備進(jìn)行維護(hù)弯蚜。但跳板機(jī)并沒有實(shí)現(xiàn)對(duì)運(yùn)維人員操作行為的控制和審計(jì)孔轴,使用跳板機(jī)過程中還是會(huì)有誤操作、違規(guī)操作導(dǎo)致的操作事故碎捺,一旦出現(xiàn)操作事故很難快速定位原因和責(zé)任人路鹰。
第二代堡壘機(jī)(網(wǎng)關(guān)型堡壘機(jī))
? ? ? ? 由于跳板機(jī)存在的各類問題,出現(xiàn)了改進(jìn)后的第二代堡壘機(jī)收厨。第二代堡壘機(jī)被部署在外部網(wǎng)絡(luò)和企業(yè)內(nèi)部網(wǎng)絡(luò)之間晋柱,提供對(duì)內(nèi)部網(wǎng)絡(luò)特定資源的安全訪問,主要采用SSL诵叁,VPN方式工作趣斤。對(duì)內(nèi)部網(wǎng)絡(luò)特定資源的訪問則必須先登錄到堡壘機(jī)上方完成。主要滿足用戶對(duì)最常用的運(yùn)維協(xié)議的功能性需求黎休,支持對(duì)文本類(如Telnet,SSH)和圖形類(如RDP)等運(yùn)維協(xié)議的審計(jì)玉凯。
第三代堡壘機(jī)(審計(jì)型堡壘機(jī))
? ? ? ? 隨著運(yùn)維審計(jì)需求的增多势腮,用戶對(duì)堡壘機(jī)支持的協(xié)議種類需求越來越多,第二代堡壘機(jī)在響應(yīng)這些需求方面顯得力不從心漫仆,因此捎拯,出現(xiàn)了采用協(xié)議代理的方式的第三代堡壘機(jī),它切斷了終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器資源的直接訪問盲厌,接管了終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器的訪問署照。第三代堡壘機(jī)綜合了更多的用戶應(yīng)用需求祸泪,其支持的協(xié)議相應(yīng)增加了如數(shù)據(jù)庫(kù)協(xié)議、web應(yīng)用協(xié)議等建芙。目前市面上銷售的堡壘機(jī)大多屬于第三代堡壘機(jī)没隘。
當(dāng)前堡壘機(jī)主要問題
? ? ? ?部署困難,管理繁瑣禁荸,用戶操作體驗(yàn)不佳右蒲。特別是在管理設(shè)備種類較多、設(shè)備數(shù)量規(guī)模較大的情況下赶熟,存在配置界面復(fù)雜瑰妄,操作方式不連貫,部署費(fèi)工費(fèi)時(shí)等映砖。
下一代堡壘機(jī)
? ? ? 能充分感知用戶的需求间坐,做到操作智能、安全可靠邑退。下一代堡壘機(jī)將通過一種更智慧的方法來改變運(yùn)維人員和IT基礎(chǔ)設(shè)施交互的方式竹宋,顯著提高交互的安全性、合規(guī)性瓜饥、效率逝撬、靈活性和響應(yīng)速度,既能很好地解決運(yùn)維操作風(fēng)險(xiǎn)乓土,又能便捷支持各類運(yùn)維終端應(yīng)用宪潮,部署簡(jiǎn)單使用方便,使得管理者將會(huì)從復(fù)雜的運(yùn)維管理中解脫出來趣苏,而專注于提升數(shù)據(jù)中心的核心價(jià)值狡相。
3 產(chǎn)品原理
4A安全思想模型:
Account-賬號(hào)-你是誰(shuí)?
Authentication-認(rèn)證-你能去哪食磕?
Authorization-授權(quán)-你能做什么尽棕?
Audit-審計(jì)-你做了什么?
? ? ? ?堡壘機(jī)的核心思路是邏輯上將人與目標(biāo)設(shè)備分離彬伦,建立“人-〉主賬號(hào)(堡壘機(jī)用戶賬號(hào))-〉授權(quán)—>從賬號(hào)(目標(biāo)設(shè)備賬號(hào))的模式;在這種模式下滔悉,基于身份標(biāo)識(shí),通過集中管控安全策略的賬號(hào)管理单绑、授權(quán)管理和審計(jì)回官,建立針對(duì)維護(hù)人員的“主賬號(hào)-〉登錄—〉訪問操作-〉退出”的全過程完整審計(jì)管理,實(shí)現(xiàn)對(duì)各種運(yùn)維加密/非加密搂橙、圖形操作協(xié)議的命令級(jí)審計(jì)歉提。
4 產(chǎn)品架構(gòu)
? ? ? ?堡壘機(jī)主要由兩大模塊組成,協(xié)議控制模塊、管理模塊苔巨。協(xié)議控制模塊主要負(fù)責(zé)實(shí)現(xiàn)底層對(duì)訪問過程的TCP會(huì)話拆分版扩、還原識(shí)別操作內(nèi)容、記錄操作指令侄泽、并根據(jù)策略執(zhí)行阻斷操作礁芦。管理模塊主要實(shí)現(xiàn)認(rèn)證方式、運(yùn)維用戶蔬顾、操作對(duì)象的配置宴偿、訪問授權(quán)控制、策略控制以及行為審計(jì)功能诀豁。
? ? ? ?從功能上講窄刘,它綜合了核心系統(tǒng)運(yùn)維和安全審計(jì)管控兩大主干功能,從技術(shù)實(shí)現(xiàn)上講舷胜,通過切斷終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器資源的直接訪問娩践,而采用協(xié)議代理的方式,接管了終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器的訪問烹骨。堡壘機(jī)是旁路在網(wǎng)絡(luò)交換機(jī)節(jié)點(diǎn)上的硬件設(shè)備翻伺,實(shí)現(xiàn)運(yùn)維人員遠(yuǎn)程訪問維護(hù)服務(wù)器的跳板,即物理上并聯(lián)沮焕,邏輯上串聯(lián)吨岭。
? ? ? ?如原來使用微軟的遠(yuǎn)程桌面RDP進(jìn)行windows服務(wù)器的遠(yuǎn)程運(yùn)維,由于微軟的RDP協(xié)議內(nèi)置了遠(yuǎn)程訪問的屏幕信息峦树,所以只需要正確的解析RDP協(xié)議的內(nèi)容±北瑁現(xiàn)在先訪問到堡壘機(jī),再由堡壘機(jī)訪問遠(yuǎn)程windows服務(wù)器魁巩。這期間運(yùn)維人員的所有操作都被記錄下來急灭,再進(jìn)行重組、壓縮谷遂,以屏幕錄像葬馋、字符操作日志等形式長(zhǎng)久保存。在服務(wù)器發(fā)生故障時(shí)肾扰,就可以通過保存的記錄查看到以前進(jìn)行的任何操作畴嘶。
? ? ? 至于字符操作的審計(jì),如FTP集晚,實(shí)際上堡壘機(jī)內(nèi)部?jī)?nèi)置了FTP客戶端程序掠廓,也是客戶端主機(jī)先RDP到堡壘機(jī),再由堡壘機(jī)啟動(dòng)FTP客戶端程序訪問遠(yuǎn)程服務(wù)器甩恼,這樣還是由堡壘機(jī)作為跳板,間接地把FTP命令傳送到服務(wù)器,并把服務(wù)器的響應(yīng)信息反饋給客戶端主機(jī)条摸,中間的操作過程全都被記錄了下來悦污。
遠(yuǎn)程視頻訪問的協(xié)議還有VNC,但由于VNC是一對(duì)一的訪問钉蒲,即同一時(shí)間一個(gè)客戶端主機(jī)只能訪問一臺(tái)遠(yuǎn)程服務(wù)器切端,而RDP協(xié)議允許多個(gè)客戶端同時(shí)訪問同一個(gè)遠(yuǎn)程服務(wù)器,所以一般市場(chǎng)上的堡壘機(jī)廠商都是通過解析RDP協(xié)議實(shí)現(xiàn)運(yùn)維審計(jì)的顷啼。
? ? ? ?形象地說踏枣,終端計(jì)算機(jī)對(duì)目標(biāo)的訪問,均需要經(jīng)過運(yùn)維安全審計(jì)的翻譯钙蒙。打一個(gè)比方茵瀑,運(yùn)維安全審計(jì)扮演著看門者的工作,所有對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的請(qǐng)求都要從這扇大門經(jīng)過躬厌。因此運(yùn)維安全審計(jì)能夠攔截非法訪問马昨,和惡意攻擊,對(duì)不合法命令進(jìn)行命令阻斷扛施,過濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問行為鸿捧,并對(duì)內(nèi)部人員誤操作和非法操作進(jìn)行審計(jì)監(jiān)控,以便事后責(zé)任追蹤疙渣。
5 主要技術(shù)
? ? ? ?邏輯命令自動(dòng)識(shí)別技術(shù)是指自動(dòng)識(shí)別當(dāng)前操作終端匙奴,對(duì)當(dāng)前終端的輸入輸出進(jìn)行控制,組合輸入輸出流妄荔,自動(dòng)識(shí)別邏輯語(yǔ)義命令泼菌。系統(tǒng)會(huì)根據(jù)輸入輸出上下文,確定邏輯命令編輯過程懦冰,進(jìn)而自動(dòng)捕獲出用戶使用的邏輯命令灶轰。該項(xiàng)技術(shù)解決了邏輯命令自動(dòng)捕獲功能,在傳統(tǒng)鍵盤捕獲與控制領(lǐng)域取得新的突破刷钢,可以更加準(zhǔn)確的控制用戶意圖笋颤。該技術(shù)能自動(dòng)識(shí)別命令狀態(tài)和編輯狀態(tài)以及私有工作狀態(tài),準(zhǔn)確捕獲邏輯命令内地。
? ? ? ?分布式處理技術(shù)是指內(nèi)控堡壘主機(jī)采用分布式處理架構(gòu)進(jìn)行處理伴澄,啟用命令捕獲引擎機(jī)制,通過策略服務(wù)器完成策略審計(jì)阱缓,通過日志服務(wù)器存儲(chǔ)操作審計(jì)日志非凌,并通過實(shí)時(shí)監(jiān)視中心,實(shí)時(shí)察看用戶在服務(wù)器上行為荆针。這種分體式設(shè)計(jì)有利于策略的正確執(zhí)行和操作記錄日志的安全敞嗡。同時(shí)颁糟,各組件之間采用安全連接進(jìn)行通信,防止策略和日志被篡改喉悴。各組件可以獨(dú)立工作棱貌,可以分布于不同的服務(wù)器上,亦可所有組件安裝于一臺(tái)服務(wù)器箕肃。
? ? ? 正則表達(dá)式匹配技術(shù)是指內(nèi)控堡壘主機(jī)采用正則表達(dá)式匹配技術(shù)婚脱,將正則表達(dá)式組合入樹型可遺傳策略結(jié)構(gòu),實(shí)現(xiàn)控制命令的自動(dòng)匹配與控制勺像。樹型可遺傳策略適合現(xiàn)代企業(yè)事業(yè)架構(gòu)障贸,對(duì)于服務(wù)器的分層分級(jí)管理與控制,相當(dāng)有用吟宦。
? ? ? ?圖形協(xié)議代理是指為了對(duì)圖形終端操作行為進(jìn)行審計(jì)和監(jiān)控篮洁,內(nèi)控堡壘主機(jī)對(duì)圖形終端使用的協(xié)議進(jìn)行代理,實(shí)現(xiàn)多平臺(tái)的多種圖形終端操作的審計(jì)督函,例如Windows平臺(tái)的RDP方式圖形終端操作嘀粱,Linux/Unix平臺(tái)的XWindow方式圖形終端操作。
? ? ? ?多進(jìn)程/線程與同步技術(shù)是指內(nèi)控堡壘主機(jī)主體采用多進(jìn)程/線程技術(shù)實(shí)現(xiàn)辰狡,利用獨(dú)特的通信和數(shù)據(jù)同步技術(shù)锋叨,準(zhǔn)確控制程序行為。多進(jìn)程/線程方式邏輯處理準(zhǔn)確宛篇,事務(wù)處理不會(huì)發(fā)生干擾娃磺,這有利于保證系統(tǒng)的穩(wěn)定性、健壯性叫倍。
? ? ? ?數(shù)據(jù)加密功能是指內(nèi)控堡壘主機(jī)在處理用戶數(shù)據(jù)時(shí)都采用相應(yīng)的數(shù)據(jù)加密技術(shù)來保護(hù)用戶通信的安全性和數(shù)據(jù)的完整性偷卧。防止惡意用戶截獲和篡改數(shù)據(jù)。充分保護(hù)用戶在操作過程中不被惡意破壞吆倦。
? ? ? ?操作還原技術(shù)是指將用戶在系統(tǒng)中的操作行為以真實(shí)的環(huán)境模擬顯現(xiàn)出來听诸,審計(jì)管理員可以根據(jù)操作還原技術(shù)還原出真實(shí)的操作,以判定問題出在哪里蚕泽。目前晌梨,綠盟科技、極地安全须妻、方正安全等國(guó)內(nèi)主流內(nèi)控堡壘主機(jī)采用操作還原技術(shù)能夠?qū)⒂脩舻牟僮髁鞒套詣?dòng)地展現(xiàn)出來仔蝌,能夠監(jiān)控用戶的每一次行為,判定用戶的行為是否對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)安全性造成危害荒吏。
6 產(chǎn)品部署
旁路部署敛惊,邏輯串接,可集群部署绰更。
7 產(chǎn)品特色
單點(diǎn)登錄功能
支持對(duì)X11瞧挤、linux锡宋、unix、數(shù)據(jù)庫(kù)特恬、網(wǎng)絡(luò)設(shè)備员辩、安全設(shè)備等一系列授權(quán)賬號(hào)進(jìn)行密碼的自動(dòng)化周期更改,簡(jiǎn)化密碼管理鸵鸥,讓使用者無需記憶眾多系統(tǒng)密碼,即可實(shí)現(xiàn)自動(dòng)登錄目標(biāo)設(shè)備丹皱,便捷安全妒穴。
賬號(hào)管理
設(shè)備支持統(tǒng)一賬戶管理策略,能夠?qū)崿F(xiàn)對(duì)所有服務(wù)器摊崭、網(wǎng)絡(luò)設(shè)備讼油、安全設(shè)備等賬號(hào)進(jìn)行集中管理,完成對(duì)賬號(hào)整個(gè)生命周期的監(jiān)控呢簸,并且可以對(duì)設(shè)備進(jìn)行特殊角色設(shè)置如:審計(jì)巡檢員矮台、運(yùn)維操作員、設(shè)備管理員等自定義設(shè)置根时,以滿足審計(jì)需求瘦赫。
身份認(rèn)證
設(shè)備提供統(tǒng)一的認(rèn)證接口,對(duì)用戶進(jìn)行認(rèn)證蛤迎,支持身份認(rèn)證模式包括 動(dòng)態(tài)口令确虱、靜態(tài)密碼、硬件key 替裆、生物特征等多種認(rèn)證方式校辩,設(shè)備具有靈活的定制接口,可以與其他第三方認(rèn)證服務(wù)器之間結(jié)合辆童;安全的認(rèn)證模式宜咒,有效提高了認(rèn)證的安全性和可靠性。
資源授權(quán)
設(shè)備提供基于用戶把鉴、目標(biāo)設(shè)備故黑、時(shí)間、協(xié)議類型IP纸镊、行為等要素實(shí)現(xiàn)細(xì)粒度的操作授權(quán)倍阐,最大限度保護(hù)用戶資源的安全。
訪問控制
設(shè)備支持對(duì)不同用戶進(jìn)行不同策略的制定逗威,細(xì)粒度的訪問控制能夠最大限度的保護(hù)用戶資源的安全峰搪,嚴(yán)防非法、越權(quán)訪問事件的發(fā)生凯旭。
操作審計(jì)
設(shè)備能夠?qū)ψ址懦堋D形使套、文件傳輸、數(shù)據(jù)庫(kù)等全程操作行為審計(jì)鞠柄;通過設(shè)備錄像方式實(shí)時(shí)監(jiān)控運(yùn)維人員對(duì)操作系統(tǒng)侦高、安全設(shè)備、網(wǎng)絡(luò)設(shè)備厌杜、數(shù)據(jù)庫(kù)等進(jìn)行的各種操作奉呛,對(duì)違規(guī)行為進(jìn)行事中控制。對(duì)終端指令信息能夠進(jìn)行精確搜索夯尽,進(jìn)行錄像精確定位瞧壮。
? ? ? ?堡壘機(jī)具體有強(qiáng)大的輸入輸出審計(jì)功能,不僅能詳細(xì)記錄用戶操作的每一條指令匙握,而且能夠通過回放的功能咆槽,將其動(dòng)態(tài)的展現(xiàn)出來,大大豐富了內(nèi)控審計(jì)的功能圈纺。堡壘機(jī)自身審計(jì)日志秦忿,可以極大增強(qiáng)審計(jì)信息的安全性,保證審計(jì)人員有據(jù)可查蛾娶。堡壘機(jī)還具備圖形終端審計(jì)功能灯谣,能夠?qū)Χ嗥脚_(tái)的多種終端操作審計(jì),例如windows 平臺(tái)的RDP 形式圖形終端操作茫叭。
? ? ? ?為了給系統(tǒng)管理員查看審計(jì)信息提供方便性酬屉,堡壘機(jī)提供了審計(jì)查看檢索功能。系統(tǒng)管理員可以通過多種查詢條件查看審計(jì)信息揍愁。
