堡垒机的诞生
过去几十年来,伴随着信息技术的发展,信息化系统逐渐渗透到企业日常运营的方方面面,也使得需要参与IT运维的人员越来越多。来自于企业内部人员或者第三方维护人员的技能参差不齐,误操作、恶意操作造成的信息安全事故日益增多,而此类安全事故往往会给企业造成极大的损失。因此,企业信息安全防护已经从单纯传统的网络安全防护逐步延伸到运维操作安全防护领域。
在这一背景下,侧重于运维安全审计的堡垒机应运而生。堡垒机是指对用户的操作进行权限控制和操作行为审计的安全产品,属于身份与访问安全的范畴。
一般认为的运维安全审计 系统属于身份与访问安全领域,即在企业IT系统运维的过程中,为了保障内部系统不受内外部入侵的破坏,通过访问控制、身份认证、账号管理、行为审计等多种信息安全技术,对网络设备、主机系统、应用系统的运维访问进行精细化管理,从而帮助企业在IT运维过程中建立全面的事前识别与规划、事中控制,以及事后审计的安全管理体系。
堡垒机的核心功能是“运维+安全审计"。要实现这一-目标,需要在终端计算机和服务器资产中间加一层协议转发节点,所有对目标资产 的请求都要经过这一节点。 该节点能够拦截非法访问,阻断不合规的危险命令,并对内部人员的所有操作进行审计监控,以便进行事后追溯。以上所说的中间节点就是堡垒机,堡垒机在网络环境中的经典拓扑如图1所示。
主要功能
1、账号管理
人员账号管理,集中维护包括自然人账号(主帐号)和资源账号(从帐号)在内的全部帐号以及相关的账号属性。实现统一账号,一个人一个账号一个密码。
1)规范用户统一模型、定义统一规则。
2)实现用户数据唯一性、准确性及完整性。
3)保证各业务系统数据的及时性及一致性。
管理平台实现对主/从帐号的同步(采集)和管理(增删改)。并且对其定制相关账号策略,包括主/从帐号角色维护、密码定期更新以及密码策略等。
针对用户情况复杂统一管理难、账号种类多管理难度大、部分账号未严格实名和账号使用审计难度大等问题,提供以下功能:
主账号/员工管理:提供主账号的各类属性、全生命周期管理及批量操作等。提供账号归属组织部门的管理、包括内部/厂家身份,所属部门等。
主账号组管理:提供跨组织部门员工的集合管理方式,支持多级树形结构。方便集中管理配置、授权等。
从账号管理:提供从账号的属性、生命周期管理及批量操作等,包括业务系统从账号,基础设施从账号。
主账号策略:提供对主账号各种策略,包含:密码复杂度,恶意登入、密码过期、账号空闲等策略。
从账号策略:提供从账号策略配置,包括密码复杂度等。
2、认证管理
加强系统安全、保持信息资源,实现集中认证、单点登陆、全网漫游,实现各种认证方式或集成已有的认证模块。
针对授权与访问策略不清晰、用户操作命令不受控制和核心资产没有保障等问题,提供以下功能:
认证策略管理:提供强认证策略的组合配置功能,可针对用户、用户组层级配置认证方式,支持时间、IP的控制策略。
短信认证:提供短信二次挑战认证方式,提高账号的安全性。
Radius认证:支持第三方认证协议,可将账号身份校验委托给第三方,如radius认证中心。
收集令牌:提供手机令牌,可通过手机一次性口令方式校验登入,提供账号安全性。
避险认证:可在其他认证方式异常故障的情况下,应急临时切换为本地静态认证。
3、资产管理
管理系统提供了资源组管理、业务资源管理、系统资源管理功能。
针对大量资产管理混乱、资产管理权责不清晰和资产存在安全隐患等问题,提供以下功能:
资产类型:资产分类管理,根据资产实际类型指定分类属性(与soc一致)。
Web资产:Web业务系统托管,实现web资产的账号统一管理,单点登入/统一认证。
基础设施:基础设施资产的管理协议,涵盖所有运维操作。
资产组:跨业务系统维度管理资产,可灵活为资产分组,便于管理授权等。
业务系统:资产归属业务系统。
厂家/区域:资产归属厂家/区域属性。
4、权限管理
授权管理模块对所管辖的资源进行了逻辑上的集中授权管理。在资源中拥有各自独立的权限管理功能。对所管理对象和主帐号进行授权,实现了实体级的授权。对所管理对象上的从帐号可以使用角色进行授权,而不需要进入每一个被管理对象才能授权,实现了实体内授权。
1)实现系统级或功能模块权限统一管理
2)用户角色统一定义
3)实现权限统一授予、统一删除
针对用户权限划分不清晰、用户管理权限难以控制和分权分域管理困难提出以下功能:
功能角色:4A平台自身的数据权限、功能权限的集合。
资产数据角色:资源权限集合,包括资源,及资源上的服务,端口等。
账号数据角色:账号数据权限集合。
角色授权:授权规则,将功能角色、资产数据角色、账号数据角色授权给主账号,即账号所能拥有的实体授权。
应用级授权:对帐号在资源上可允许或禁止执行命令的设置,主要适用于设备资源。
