你的位置:首页 > 新闻动态 > 行业资讯

堡垒机能解决哪些问题,堡垒机是什么,能做什么

2018-9-18 9:06:13      点击:

没有堡垒机的网络环境下政企单位,网络运维目前所存在的问题:

 1.多个用户使用同一个账号。这种情况主要出现在同一工作组中,由于工作需要,同时系统管理账号,因此只能多用户共享同一账号。如果发生安全事故,不仅难以定位账号的实际使用者和责任人,而且无法对账号的使用范围进行有效控制,存在较大安全风险和隐患。

2.一个用户使用多个账号。目前,一个维护人员使用多个账号是较为普遍的情况,用户需要记忆多套口令同时在多套主机系统、网络设备之间切换,降低工作效率,增加工作复杂度。

3.缺少统一的权限管理平台,权限管理日趋繁重和无序;而且维护人员的权限大多是粗放管理,无法基于极小权限分配原则的用户权限管理,难以实现更细粒度的命令级权限控制,系统安全性无法充分保证。

4.无法制定统一的访问审计策略,审计粒度粗。各网络设备、主机系统、数据库是分别单独审计记录访问行为,由于没有统一审计策略,并且各系统自身审计日志内容深浅不一,难以及时通过系统自身审计发现违规操作行为和追查取证。

5.传统的网络安全审计系统无法对维护人员经常使用的SSHRDP等加密、图形操作协议进行内容审计。为了加强信息系统风险内控管理,一些企业部署网络安全审计系统;网络安全审计系统应用较为普遍,主要通过旁路镜像或分光方式,分析网络数据包进行审计;可对一些非加密的运维操作协议进行审计;但却无法对通过加密协议的操作内容进行审计,仍然难以解决对运维人员操作行为的监管问题。

如何解决上述风险带来的各种安全隐患和审计监管问题?运维安全审计系统给我们提供一套运维管理解决方案,使得管理人员可以全面对各种资源进行集中账号管理、细粒度的权限管理和审计,帮助企业提升风险内控水平。

运维安全审计堡垒机的核心思路是逻辑上将人与目标设备分离,建立“人一主账号(堡垒机用户账号)一授权一从账号(目标设备账号)的模式;在这种模式下,基于身份标识,通过集中管控安全策略的账号管理、授权管理和审计,建立针对维护人员的“主账号一登录一访问操作一退出”的全过程完整审计管理,实现对各种运维加密/非加密、图形操作协议的命令级审计。

堡垒机的作用主要体现在下述几个方面:

1.企业角度 通过细粒度的安全管控策略,保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行,降低人为安全风险,避免安全损失,保障企业效益。

2.管理员角度 所有运维账号的管理在一个平台上进行管理,账号管理更加简单有序;通过建立用户与账号的对应关系,确保用户拥有的权限是完成任务所需的极小权限;直观方便的监控各种访问行为,能够及时发现违规操作、权限滥用等。

3.普通用户角度 运维人员只需记忆一个账号和口令,一次登录,便可实现对其所维护的多台设备的访问,无须记忆多个账号和口令,提高了工作效率,降低工作复杂度。

部署方式

堡垒机采用“物理旁路,逻辑串联”的部署思路,主要通过两步实现:

1)通过配置交换机或需要管理设备的访问控制策略,只允许堡垒机的IP可以访问需要管理的设备。

2)将堡垒机连接到对应交换机,确保所有维护人员到堡垒机IP可达。

系统架构

堡垒机管理平台由功能管理模块、平台管理模块和平台接口构成,负责用户主从账号管理、认证管理、权限分配、审计信息搜集和管理。其具有以下模块:

功能管理模块 提供账号管理功能、认证管理功能、权限管理功能和审计管理功能。

平台管理 提供对堡垒机平台自身管理,包括配置管理、系统监控和审计日志管理。

平台接口 提供对用户、设备的各种管理接口,包括账号接口、认证接口、访问接口。其中:

1)账号接口:提供主从账号的同步和导入接口;

2)认证接口:提供主从账号登录的认证接口;

3)访问接口:提供主从账号与用户、设备的访问接口。

下面分别说明账号管理、认证管理、权限管理和审计管理模块的功能。

账号管理

账号管理主要负责集中维护包括主账号、从账号、堡垒机自身管理账号以及对账号密码的管理。

主账号

主账号的范围包括设备管理员、维护人员、第三方代维人员。主账号是登录堡垒机,获取目标设备访问权利的账号,与实际用户身份一一对应,每个用户一个主账号,每个主账号只属于一个用户。

从账号

从账号的范围包括主机、网络设备、数据库、安全设备等。通过从账号,才能实现对目标设备的访问;从账号的维护和管理是通过堡垒机进行。

认证管理

系统可通过本地认证、外部认证(LDAPRADIUS)等认证方式,对用户账号进行统一认证鉴权,并实现单点登录。单点登录是用户完成主账号登录后,访问具有权限的所有目标设备时,均不需要再输入账号口令,堡垒机自动代为登录,因此不需要用户记录多套账号口令、重复登录,提高工作效率。

权限管理

授权管理包括设备管理和授权、账号授权。

1.设备管理和授权

系统将需要管理的设备录入,设备信息包括设备名称、版本、IP地址、连接协议等。设备可按照组织结构或地域组织。

2.账号授权

系统提供用户对目标设备(即主账号到从账号)访问的授权,对于访问授权可以具体到命令级。

审计管理

堡垒机的审计范围包括审计用户对被管理设备的所有敏感关键操作、对堡垒机自身的配置管理行为进行审计。

用户操作行为审计内容

提供对通过SSHRDPVNCX-WindowTelnetRloginFTP等协议的访问行为进行内容审计,会话回放。

堡垒机自身配置管理审计

提供对堡垒机账号分配、账号授权、登录堡垒机过程、认证管理、授权管理的行为审计。

一套好的运维安全审计具备要素

集中的运维操作管理平台

应实现对服务器、网络设备、数据库、安全设备的运维管理账号的集中账号管理、集中认证和授权,通过单点登录,提供对操作行为的精细化管理和审计,达到运维管理简单、方便、可靠的目的。

1.管理方便

应提供一套简单直观的账号管理、授权管理策略,管理员可快速方便地查找某个用户,查询修改访问权限;同时用户能够方便的通过登录堡垒机对自己的基本信息进行管理,包括账号、口令等进行修改更新。

2.可扩展性

当进行新系统建设或扩容时,需增加新设备到堡垒机时,系统应能方便的增加设备数量和设备种类。

3.精细审计

针对传统网络安全审计产品无法对通过加密、图形运维操作协议进行为审计的缺陷,系统应能实现对RDPVNCX-WindowSSHSFTP等协议进行集中审计,提供对各种操作的精细授权管理和实时监控审计。

4.审计可查

可实时监控和完整审计记录所有维护人员的操作行为;并能根据需求,方便快速的查找到用户的操作行为日志,以便追查取证。

5.安全性

堡垒机须有冗余、备份措施,包括双机热备、负载均衡、异地数据备份等。

6.部署方便

系统采用物理旁路,逻辑串联的模式,不需要改变网络拓扑结构,不需要在终端安装客户端软件,不改变管理员、运维人员的操作习惯,也不影响正常业务运行。

 

大连下一代防火墙,大连网络安全,防火墙,NGAF,大连NGAF,DDOS,僵尸网络,WEB防护,大连网页防篡改,数据库安全,大连信息安全,大连NGFW,访问安全,服务器安全,虚拟化安全

堡垒机,大连堡垒机,堡垒机集中运维,堡垒机使用,堡垒机销售,运维监控,堡垒机管理,运维集中管理,堡垒机运维,大连网络安全,大连系统安全,大连访问权限,大连实时监控