新時代��、新運維�����、新堡壘
時間:2019-03-01
堡壘機���,即統(tǒng)一運維審計產(chǎn)品,具有中國特色的信息安全產(chǎn)品����,從誕生之初就注定了他的不一樣。
隨著國內(nèi)等級保護制度及運維管理的需求���,已成為了最為基礎(chǔ)的標(biāo)配安全產(chǎn)品之一�。成為身份與訪問安全最為方便落地的產(chǎn)品,對企業(yè)內(nèi)部運維人員的權(quán)限進行了有效的管理�����,推動了傳統(tǒng)的以賬號管理為中心向以人為核心緯度的管理方式的發(fā)展����,為運維側(cè)的安全管理提供了行之有效的管理工具,也一定程度上影響了圍繞運維端的相關(guān)產(chǎn)品的發(fā)展����。國外類似產(chǎn)品以CyberArk為代表。國內(nèi)則是百花齊放��,據(jù)不完全統(tǒng)計有近50家的堡壘機品牌���。以下是安全牛全景圖列出的較為代表性的幾家。
從國內(nèi)堡壘機的定義可以明顯看出其與國外的差別����。統(tǒng)一運帷審計:即堡壘機,切斷終端計算機對網(wǎng)絡(luò)設(shè)備����、服務(wù)器��、數(shù)據(jù)庫及業(yè)務(wù)軟件等目標(biāo)資產(chǎn)的直接訪問��,采用協(xié)議代理的方式接管了終端計算機對網(wǎng)絡(luò)設(shè)備��、服務(wù)器��、數(shù)據(jù)庫及業(yè)務(wù)軟件等目標(biāo)資產(chǎn)的訪問�����,攔截非法訪問和惡意攻擊��,對不合法命令進行命令阻斷��,過濾掉所有對目標(biāo)設(shè)備的非法訪問行為��,記錄終端計算機對網(wǎng)絡(luò)設(shè)備���、服務(wù)器、數(shù)據(jù)庫及業(yè)務(wù)軟件等的訪問的整個過程���。
一句話����,堡壘機采用的是“Outside(外掛式)”的方式,主要是根據(jù)終端訪問的方式的變化以代理的方式圍繞“C”端來解決問題�����。而國外的產(chǎn)品�����,以CyberArk為例���,則是多采用“Inside(內(nèi)置式&入侵式)”方式�。即主要通過在服務(wù)器端安裝代理或者系統(tǒng)插件����,圍繞“S”端的變化提供相應(yīng)的解決方案。
隨著信息化發(fā)展的浪潮推進�����,信息化的基礎(chǔ)設(shè)備種類日趨增多���,數(shù)量日趨增大���,運維方式多種多樣。面對越來越復(fù)雜的業(yè)務(wù)層面和多樣化的用戶需求�����,要求企業(yè)不斷擴展信息應(yīng)用需要���,開發(fā)越來越合理的模式來保障運維服務(wù)能靈活便捷���、安全穩(wěn)定地持續(xù)保障。
從初期的幾臺服務(wù)器發(fā)展到龐大的數(shù)據(jù)中心��,單靠傳統(tǒng)的人工運維已經(jīng)無法滿足在技術(shù)��、業(yè)務(wù)��、管理等方面的要求�����。標(biāo)準(zhǔn)化���、自動化���、架構(gòu)優(yōu)化���、過程優(yōu)化等降低運維服務(wù)成本的因素越來越被人們所重視。其中�����,自動化運維作為代替人工操作的最佳實踐方案正逐步的得到客戶的認(rèn)可和落地���。
隨著DevOps&AIOps日益盛行����,推動運維從人工運維時代向自動化運維時代邁進���,運維的“C”端從人工操作向自動化運維軟件��、運維機器人的轉(zhuǎn)變�,從人機交互正走向機機交互��。傳統(tǒng)意義上的堡壘機已無法滿足自動化運維時代的運維審計需求���。自動化運維時代需要新的堡壘機��。
一�、采用更加便捷的數(shù)據(jù)流通方式�����,提供可編程環(huán)境通道, 為數(shù)據(jù)中心提供訪問基礎(chǔ)設(shè)施的賬號管理及通道控制服務(wù)
可編程環(huán)境通道又分為兩類:一類是其它運維平臺與堡壘機自身底層之間的交付聯(lián)動�����,如ITSM���、CMDB之類平臺在變更和使用權(quán)限的時候與堡壘機聯(lián)動配合���,這類配合主要是通過API接口或Webservice接口通信完成;
另一類則是各類自動化平臺通過堡壘機提供的安全通道與目標(biāo)主機通信交付�����,這里堡壘機提供的可編程環(huán)境通道起到目標(biāo)主機賬號的授權(quán)管理和行為審計的作用��,所有的特權(quán)賬號的生命周期管理都在堡壘機上進行����,自動化運維平臺需要使用任何權(quán)限都向堡壘機請求���,以達到任意自動化平臺的交付都是安全可管可控可追溯的,這類配合主要是通過SSH���、SCP����、RDP�、FTP/SFTP等協(xié)議穿透技術(shù)完成。
目前���,堡壘機提供數(shù)據(jù)流的API接口一般是固定的���,數(shù)據(jù)格式固定、調(diào)用方式固定�����、調(diào)用模式固定�����。數(shù)據(jù)單向反饋,數(shù)據(jù)分散��,各API直接無法進行關(guān)聯(lián)通信��。一個小的功能調(diào)用����,一般需要近十個API接口對后續(xù)的維護造成了很大的麻煩���。特別是AIOps要保證數(shù)據(jù)能夠順暢地從多個數(shù)據(jù)源流入一個大的數(shù)據(jù)平臺中����,堡壘機是集賬號�����、認(rèn)證����、授權(quán)、審計為一身的核心數(shù)據(jù)源���,如何更方便的打通數(shù)據(jù)的流通是一個關(guān)鍵����。
堡壘機的數(shù)據(jù)流通對接方案必須具備智能的、便捷的數(shù)據(jù)流通對接方案:
1. 統(tǒng)一的對接接口���,可視化�、可編程化�����;如同統(tǒng)一的運維交互界面一樣�,提供智能可編程的數(shù)據(jù)對接操作界面,對需要的數(shù)據(jù)可見�、可得。
2. 可根據(jù)業(yè)務(wù)場景進行數(shù)據(jù)應(yīng)用�,而不依賴于堡壘機指定的API接口,大大減少了對API接口的調(diào)用的數(shù)量�����,簡化了開發(fā)工作量及維護成本����。
3. 打破對編程語言的的限定;基于業(yè)務(wù)場景的數(shù)據(jù)應(yīng)用需求�,打破了API接口的限制�����,就可根據(jù)數(shù)據(jù)需求平臺的不同或者開發(fā)者編程語言的不同�,提供多種可選的編程語言���。
4. 提供可編程環(huán)境通道后��;特權(quán)身份的調(diào)用和使用不再是法外之地��,自動化運維平臺或者其他管理平臺的運維操作不再難以管理和審計,也能滿足合規(guī)合法要求���。
5. 對任何平臺或客戶端通過SCP����、RDP和FTP/SFTP傳輸?shù)哪_本及內(nèi)容可以透明審計�����;且對數(shù)據(jù)流的傳輸通道可以單向控制����,以滿足數(shù)據(jù)防泄密安全管理需求�����。
二���、高可靠,高擴展���,能夠支持異地災(zāi)備和多分支機構(gòu)環(huán)境實現(xiàn)統(tǒng)一管理
隨著堡壘機在數(shù)據(jù)中心的應(yīng)用越來越廣泛���,已成為數(shù)據(jù)中心日常安全運維的核心業(yè)務(wù)系統(tǒng),高可用和高并發(fā)已成為大型數(shù)據(jù)中心新的挑戰(zhàn)���,能否支持集群和分級部署已成為了堡壘機是否可“大用”的一個關(guān)鍵性指標(biāo)了��。
高可靠和高擴展應(yīng)當(dāng)滿足以下條件:
1. 實現(xiàn)多活集群��,配置及審計日志達到實時同步���,且支持任意節(jié)點變更配置同步至所有節(jié)點;
2. 可無縫支持快速橫向擴展�����,性能不足時,擴展一臺機器����,立馬生效,且不影響當(dāng)前運維��;
3. 審計日志可支持集中式存儲和分布式存儲兩種方式以應(yīng)對不同數(shù)據(jù)中心架構(gòu)����,且分布式存儲方式支持無論登錄哪個節(jié)點,均可看見所有中心和節(jié)點上的運維日志列表�,點擊日志播放的時候會跳轉(zhuǎn)到存儲節(jié)點播放;
4. 支持自帶基于會話的負載均衡應(yīng)對大并發(fā)環(huán)境�,也可支持第三方的負載均衡設(shè)備。
三�����、對資產(chǎn)變化具有感知能力����,特別是對IP����、賬號等具備實時發(fā)現(xiàn)��,定期巡檢的能力
目前���,堡壘機對資產(chǎn)的IP、賬號等均通過人工梳理收集等方式進行輸入���。資產(chǎn)數(shù)量眾多難免會有疏漏�,人工干預(yù)勢必存在泄密隱患?�,F(xiàn)在����,CMDB常常被認(rèn)為是構(gòu)建其運維平臺的基礎(chǔ)而優(yōu)先考慮,堡壘機必須對CMDB有很好的協(xié)作能力�����。
1. CMDB建設(shè)初期�,堡壘機作為一個已有的核心資產(chǎn)信息的輸出平臺,通過智能接口平臺為新CMDB平臺提供基礎(chǔ)數(shù)據(jù)源�����,如IP、系統(tǒng)類型等����。
2. CMDB為了更好的收集系統(tǒng)信息,必須要進行客戶端軟件的安裝�����。CMDB根據(jù)已收集的IP����、系統(tǒng)類型等系統(tǒng),通過堡壘機提供目標(biāo)資產(chǎn)權(quán)限����,對目標(biāo)資產(chǎn)實現(xiàn)自動化客戶端軟件安裝。
3. 堡壘機必須具備自動發(fā)現(xiàn)賬號的能力���,根據(jù)策略對資產(chǎn)賬號定期的巡檢�,對僵尸賬號�、幽靈賬號等非法賬號進行及時預(yù)警����。
4. 堡壘機需要和CMDB對資產(chǎn)相應(yīng)的信息變化進行及時的自動化更新,如IP修改�����、資產(chǎn)報廢、資產(chǎn)停用等情況進行及時對自身數(shù)據(jù)進行跟新��。
四��、適應(yīng)移動時代的發(fā)展需要����,由移動運維走向移動管理
隨著5G技術(shù)的應(yīng)用,移動時代已經(jīng)到來���。移動時代勢必會推動新興應(yīng)用發(fā)展�����,帶來新的管理模式��。從傳統(tǒng)的移動運維到移動管理勢在必行��。BYOD時代��,如何安全���、智能�����、高效的運維�����,成為廣大信息化管理人員共同思索的目標(biāo)��。
1. 專有移動端APP以適應(yīng)移動操作系統(tǒng)的版本變化�,并保障連接通路�、操作過程的安全可靠。
2. 通過移動端對重大風(fēng)險事件進行實時掌控��,及時便捷的應(yīng)急運維操作����。
3. 通過移動端對運維流程的審批、管理等���。特別是對核心敏感資產(chǎn)的運維動作���,結(jié)合內(nèi)部運維管理制度,制定運維流程����,可以通過移動端進行申請和審批,方便�、安全、快捷�。
五、具備自動化風(fēng)險分析與評估�,及時發(fā)現(xiàn)與管理風(fēng)險
堡壘機一直來是作為一款運維工具發(fā)揮其作用,如何更有效的發(fā)揮其管理功效����,是堡壘機發(fā)展的重要目標(biāo)。更好的適配不斷變換的“C”端僅是基礎(chǔ)��,如何對堡壘機自身的數(shù)據(jù)進行發(fā)現(xiàn)��、挖掘�����、分析才是發(fā)揮管理功能的關(guān)鍵�。
堡壘機基本存儲了目標(biāo)資產(chǎn)的所有賬號,通過以賬號維度的分析���,可以發(fā)現(xiàn)僵尸賬號����、幽靈賬號、繞行登入等存在安全隱患的問題�����。對賬號進行有效的安全評估��,有助于賬號的安全管理�����。
同時堡壘機又是所有運維人員的賬號中心�、權(quán)限中心,通過對用戶行為����、運維行為等分析與評估,異常登錄�、異常會話、異常操作����、敏感操作等行為有效的安全評估與威脅分析��。對分析結(jié)果進行標(biāo)準(zhǔn)化輸出��,通過SOC、SIEM或態(tài)勢感知等平臺的綜合處理����,與相關(guān)事件關(guān)聯(lián)分析,及時準(zhǔn)確的追溯分析安全事件成因��。
總之��,堡壘機通過十幾年的發(fā)展��,本身又為方案創(chuàng)新型產(chǎn)品�,日趨成熟。如何更好的適應(yīng)新的信息化環(huán)境����、融合新的運維工具是持續(xù)不變的探索目標(biāo)。
堡壘機將會發(fā)展為獨立��、統(tǒng)一以賬號為中心的安全管理平臺�����。包含賬號的生命周期,賬號的訪問控制矩陣����,提供統(tǒng)一的人機界面與編程界面。為自動化軟件����、自動化設(shè)備提供賬號管理及通道服務(wù),將會掌管數(shù)據(jù)中心基礎(chǔ)設(shè)施的賬號及訪問控制���,成為未來數(shù)據(jù)中心的核心管理平臺����。
新技術(shù)推動堡壘機的發(fā)展�����,同時也推進了新的運維管理工具或平臺的改變����。
在線咨詢
在線咨詢
0371-63319761