账号持有人:老杨丨高级网络工程师11年经验。如需帮助您成为更好的网络达人的信息,请关注我们的公众号:网络工程师俱乐部。
互联网工作者大家好。
对于从事安全的人来说,堡垒机并不陌生,可以说上好几遍。
但当谈到堡垒机的前世今生时,你可能不一定知道它的起源绝非易事。
堡垒机的诞生与踏脚石机密不可分。
跳板机可以被认为是一个中介。所有运维操作都必须先经过跳板机,然后才能访问目标服务器。然而,堡垒机虽然可以控制访问,但却无法控制运维人员的操作行为。
这就引出了堡垒机,它可以认为是踏脚石机的升级版。堡垒机不仅继承了堡垒机的访问控制功能,还增加了身份认证、操作审计等一系列高级功能。
从垫脚石机到垫脚石机,这不仅仅是技术的进化,更是网络安全意识的提升。今天我们就来聊聊跑步机、跑步机以及跑步机的好处。
今日文章浏览权限:《jumpserver堡垒机系统》
获取资源请私信和密码“Fortress Machine”。
如果你想从0到1系统学习,请私信告诉我们你的学习意图,我们会建议最好的方法。
01 跳板机
01 跳板机介绍
跳板机是一台服务器,在维护过程中,运维人员必须先统一登录这台服务器,然后再登录目标设备进行维护和操作。
在腾讯,开发者登录服务器的唯一途径就是Springboard机,开发者必须先登录Springboard机,然后再通过Springboard机登录应用服务器。
02 踏脚石机验证方法
固定密码证书+固定密码+动态验证码三重认证方式(腾讯)
影响:
保护您的业务机器,使用证书避免ID 伪造,使用动态令牌避免证书丢失后ID 伪造,并确保最大程度的安全性。
证书:证书证书为文本格式,长度为2048位。这是每个用户登录机器的唯一ID。
固定密码:当您分配LDAP 帐户时,还会分配一个固定密码。
动态验证码(令牌):每个动态验证码的有效期为3分钟。
03 步进机的优缺点
优点:集中管理
缺点:由于操作维护人员的操作行为没有得到控制和审核,在踏脚凳机的使用过程中,因不正确或违规操作而发生的事故仍然时有发生。一旦发生运行事故,很难快速查明原因和责任。男人。
04 运维思考
审计是一种反应性行动,可以发现问题并确定责任人,但不能阻止问题的发生。只有系统账户的作用才能从根本上解决问题。然而,只要机器有能力这样做,它就无法验证用户的身份。是的,没有人需要这样做。
02 运维堡垒机
01 堡垒主机简介
1)从垫脚石机诞生的堡垒机概念
2005年,奇智科技研发出全球第一台运维堡垒机。
2)奇智科技堡垒机
集中管理是前提,访问控制是手段,自动化是目标。
3)堡垒主机阻断终端对计算机网络和服务器资源的直接访问,并通过协议代理接管终端计算机对网络和服务器的访问。
02 堡垒机的作用
核心系统运维和安全审计控制。未经授权的访问、恶意攻击的过滤和拦截、未经授权的命令的拦截、审计监控、报警和报警、记录、分析和处理。
03 堡垒主机核心特性
1)单点登录功能
支持X11、Linux、Unix、数据库、网络设备、安全设备等一组经过身份验证的帐户自动定期更改密码,简化密码管理并自动更新目标设备,无需用户记住许多系统密码。登录。既方便又安全。
2)账户管理
该设备支持统一的账户管理策略。这可以让您实现对所有服务器、网络设备、安全设备等账户的集中管理,完成对您的账户的全生命周期监控,并对您的设备进行专门的角落设置。审计检查员、操作和维护操作员、设备经理等可以根据您的审计需求进行定制。
3)身份验证
设备提供集成的认证接口对用户进行认证,支持动态口令、静态口令、硬件密钥、生物识别等身份认证方式,可灵活定制接口,并可直接与其他第三方认证结合。安全认证模式有效提高了认证的安全性和可靠性。
4)资源授权
设备根据用户、目标设备、时间、协议类型、IP、行为等因素提供精细化的操作授权,最大限度地保障用户资源的安全。
5)访问控制
设备支持根据不同的用户制定不同的策略,细粒度的访问控制可以最大限度地保障用户资源的安全,严格防止非法和越权访问事件。
6)运营审核
该设备可以对字符串、图形、文件传输、数据库等安全操作进行操作审计,对运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作进行监控和监控通过设备记录进行处理。您可以集中管控违规行为,精准查找终端指挥信息,精准定位视频。
04 堡垒主机应用场景
1)多个用户使用同一个账户
在大多数情况下,工作需要和独特的系统管理员帐户会限制多个用户在发生安全事件时只能共享同一个帐户。这不仅使得识别该帐户的实际用户和负责人变得困难;但也无法查询账户状态,有效控制使用范围存在较大的安全风险和隐患。
2) 一个用户使用多个帐户。
现在维护人员使用多个帐户的情况很常见,需要用户记住多个密码并同时在多个主机系统和网络设备之间切换,降低了工作效率,使工作变得复杂。
3)缺乏统一的权限管理平台,难以实现更细粒度的命令权限控制。
大多数维护人员权限控制较为宽泛,用户权限管理并非基于最小权限分配原则,难以实现更细粒度的命令权限控制,降低了系统安全性得不到完全保证。
4)无法制定统一的访问审核策略,审核粗粒度。
每个网络设备、主机系统、数据库的访问行为都是单独审计和记录的,没有统一的审计策略,并且每个系统自身的审计日志内容不同,因此可以快速发现和追踪未经授权的操作。很难获得。来自系统自身审计的证据。
5)传统的网络安全审计系统无法对维护人员经常使用的加密和图形操作协议(例如SSH、RDP)进行内容审计。
05 目标值
1)目标
堡垒主机的核心思想是在逻辑上分离用户和目标设备,建立“个人->主账户(堡垒主机用户账户)->授权-从账户(目标设备账户)”。该模式通过基于唯一身份的集中管理账号管理、授权管理、安全策略审核,实现对维护人员“主账号登录访问操作注销”流程的完整审核管理。建立并提供命令。各种运维加密及非加密图形操作协议的级别审核。
2)系统价值
堡垒机的作用主要体现在以下几个方面:
企业视角
通过细粒度的安全管控策略,保证企业服务器、网络设备、数据库、安全设备等安全可靠运行,降低人为安全风险,避免安全损失,提高企业利润。
管理员视角
所有生产和维护账户都在一个平台上进行管理,建立用户与账户之间唯一的对应关系,使账户管理更加简单有序,给用户直观且可以确保拥有方便监控所需的最低权限。该行为可以快速检测非法操作、滥用权限等。
考虑到通过超级管理实现多个账户同时操作,有利于自然人的实名认证和关联。
一般用户视角
运维人员只需记住一个账号和密码,一次登录即可访问所管理的多台设备。无需记住多个帐户和密码,提高工作效率并降低复杂性。
06 应用
单点登录托管应用系统如今,中国电信、中国移动、中国联通三大运营商广泛使用Bastion Host来完成萨班斯法案要求的单点登录和审核。
堡垒机还广泛应用于银行、证券等金融机构,完成财务、会计业务的审计。
电力行业双网改造项目后,采用Bastion机解决双网分离后的跨网访问问题,能够成功解决双网间访问的安全问题。
07 相关厂家
目前已有不少厂商开始进入这一领域,如斯福迪、帕拉迪、圣博林、上思卓越、绿盟科技、科友、奇智、金万维、集集、并行等。所有这些制造商现在都受到行业专业人士和企业客户的好评,但每个制造商的产品重点有所不同。
我们以某运维安全审计产品为例。该产品专注于运维安全管理,集单点登录、账户管理、身份认证、资源于一体。通过认证、访问控制和操作审计,可以有效地对操作系统、网络设备、安全设备、数据库等操作流程进行操作维护审计,从而将操作维护审计从事件审计转变为操作内容审计。可以升级。通过系统平台的事前预防、事中控制、事后控制,可追溯性可以全面解决企业运维安全问题,提升企业IT运维管理水平。
08 堡垒主机功能
1)身份认证与授权管理
健全的用户管理机制和灵活的认证方式。
针对企业IT系统因多重运维而无法分权的通病,Bastion Host提出了“集中账户管理”的解决方案,可以完成账户监控和管理。支持账户全生命周期,也降低了企业管理大量用户账户的难度和工作量。
同时,集中管理可以帮助您发现账户安全风险,制定统一、标准的用户账户安全策略。
Bastion主机系统平台可以对运维人员的日常活动、审计平台上的会话和管理员的行为配置、或者报警数量等进行各种报表统计和分析。
报表包括日报、会话报表、自查运行报表、报警报表、综合统计报表,您可以根据您的个性化需求设计和查看定制报表。
上述报表可以以EXCEL格式输出,并以折线图、柱状图、饼图等图形格式显示。
4)应用发布
针对用户独特的运维需求,Bastion Host通过与Audit Bastion Host配合部署业界虚拟桌面主机安全操作系统设备,充分满足审计、控制、审批需求。该产品提供了数据库维护工具,可以让您监控和审计pcAnywhere、DameWare等各种工具的运维活动。
11个特点
1) 超全面审计业务范围
该平台采用协议分析和基于数据包的恢复虚拟化技术,实现操作界面的模拟,将所有操作转换为图形界面进行显示,实现审计信息100%丢失。此外,它还提供操作和维护操作的图形审核视图。同时还可以对命令行操作中的命令、回显信息以及非字符操作时的键盘鼠标点击信息等字符进行分析。
系统支持的审计协议和工具包括:
字符串操作:SSH/Telnet(工具:SecureCRT/Putty/Xshell) 图形操作:RDP/VNC/X11/pcAnywhere/DameWare 等其他协议:FTP/SFTP/Http/Https 等数据库工具:Oracle/sqlserver/MySQL客户端工具
2)协议和工具包括:
字符串操作:SSH/Telnet(工具:SecureCRT/Putty/Xshell) 图形操作:RDP/VNC/X11/pcAnywhere/DameWare 等其他协议:FTP/SFTP/Http/Https/SQLPLUS 等
3)报表管理
平台具有丰富的报表和统计功能,允许您运行默认报表和自定义报表,进行运维数据报表和统计。
该平台提供Word、Excel等多种报告格式。
平台提供折线图、饼图、柱状图等多种图表形式的运维统计数据,方便后续运维分析和管理。
4)完善用户管理权限的机制
平台严格定义用户管理权限,每个用户分为系统管理员、审计管理员、运维管理员、密码管理员四种管理员角色。该平台还支持自定义创建管理员角色。精细的管理权限设置确保平台的用户安全控制满足审核需求。
平台集用户管理、身份认证、资源授权、访问控制、操作审计于一体,有效实现事前预防、事中控制、事后审计。
5)高效的处理能力
审计平台可以执行常见功能。
SSH/Telnet/FTP/SFTP/HTTP/HTTPS/Windows Terminal/X11、VNC协议完全透明传输,对RDP/VNC/X11等图形协议的处理比同类产品更强大。
6)可扩展性和兼容性
平台采用模块化设计,单个模块出现故障不影响其他模块的使用,增加了平台的健壮性和稳定性。
运维人员登录支持门户集成登录,兼容终端C/S客户端连接设备。审核平台的认证方式可定制,并兼容第三方认证设备。
凭借强大的研发能力,我们不仅可以为客户提供长期的产品更新,还可以根据客户的实际需求进行定制开发。
7)灵活的实施方式
堡垒主机提供功能齐全、操作灵活、界面易用、功能习惯的审计管理能力,而B/S模式则可以对后端进行不同的管理配置。
平台简单、易于部署,具备配置导航功能,可快速完成配置需求并实现线上需求。
8)完善的系统安全设计
完整全面的自审计能力,支持基于HTTPS/SSL的自安全管理和审计,审计信息强加密存储。
12 项目
1)某连锁酒店公司
客户情况及需求:
IT系统分布在连锁酒店总部和全国各地的分公司,每个酒店区域都有相应的技术人员对系统进行运维,总部还配备了一名运维人员,保证整体运维质量。运营负有最终责任。国家信息技术系统。
随着酒店实体数量的增加,总公司IT运维操作日益复杂,运维问题日益凸显。最基本的场景之一是,如果酒店IT系统出现问题,当地IT运维人员无法解决,就会向企业总部寻求帮助。
此时,总部的工程师对原来的问题一无所知,而原来的问题可能发生了超出分支机构运维工程师的知识范围的变化,整体上产生了新的问题。该过程没有记录或控制,也找不到解决问题的线索。
因此,总部的工程师想要了解从问题最初发生到分支机构运维人员的运维工作到底是怎么回事。
此外,还存在其他操作和维护问题,例如:
1、运维人员管理方式落后,无法时时分配职责,无法有效评估和评价各相关方的运维工作质量和数量。
2.缺乏设备账户管理连锁酒店的每个运维人员往往需要管理多个信息系统的运维。多名运维人员共同管理。在这种情况下,密码经常会丢失、登录尝试失败或密码被无意更改。而对于第三方维护者来说,目前还没有更强大的设备账号监控机制或者有效的生命周期管理机制。
解决了:
我们进行统一认证,认证成功后,对认可的IT设备进行操作和维护。整个操作维护过程都有记录,并对危险操作具有报警和拦截功能。
这种“垫脚石”解决方案允许运维人员只需记住密码即可操作和维护认可的设备。整个运维过程都有记录,可以映射到运维人员。通过使用运维审计中央管理客户端软件,总公司运维人员可以随时查询分布在全国各地的酒店IT系统的运维记录,并可以在播放器上流畅播放。一个偏远的地方。
客户收入:
经过运维安全审计堡垒平台后,所有运维人员使用统一的用户ID登录系统。所有运维操作均以实际自然人对应记录,而非设备账户。
出现问题后,可以立即调出运维操作视频进行查看,并根据视频追溯问题原因,直接找出问题根源,提供有价值的第一手资料。你可以得到解决IT 系统故障。
实施安全审计堡垒平台后,问题解决时间平均缩短至1~2小时,运维工作质量得到数量级提升。也一定程度上提升了所有运维人员的运维体验,有视频可学习、可交流、可参考。
2)中国商业银行
客户情况及需求:
在内部运维安全方面,最初的人工控制措施将不再能够满足当前和未来业务发展的要求。因此,本行建立了服务器和设备访问安全管理制度,以便系统和安全管理者能够对信息系统的用户和各项安全进行监控,按照国内相关法律法规和银行系统自身提出的安全等级保护规定来进行。建造。实行资源集中管理、权限集中、审计集中,从技术上保证信息系统安全策略的落实。
具体来说,必须实现以下功能要求:
1. 账户的集中管理以及对用户特定权限类别的管理能力。
2、权限控制。实现对用户的细粒度权限控制,将用户与设备关联起来,对目标设备进行操作和维护。
3、运维过程中可对违规信息进行报警、提权、拦截等操作,并可实现事件过程中的实时审计管理。
4. 您可以执行审后录音回放、多条目搜索和定位回放等有用操作。
解决了:
该银行选择了Fortress Machines 品牌作为安全审计项目的承包商。
RBAC角色授权机制对用户进行集中管理,有效强制执行设备管理中的用户权限,包括跨用户、跨设备的“三权”分类(系统管理员权限、操作管理员权限、审核管理员权限)。实现用户运维权限的细分,通过设置安全策略减少越权操作造成的资源损失,即使出现问题也能通过视频查询回放“事件现场”。预防、控制、一站式审核。
具体来说,该行运维项目取得了以下几点成果:
1、用户虽然是集中管理,但相应的权限也划分了,权限独立、清晰。
2. 积极主动,为银行的众多第三方维护人员采用定制的角色类型和访问策略。
3. 权限提升,对设备资源进行非法操作进行提醒,发现严重违法则直接屏蔽(权限提升意味着需要上级角色临时批准)。
4、实现事后审核的便捷、快捷,结合视频查询和定位,直接发现问题。
客户利益:
据此,组织了内部运维人员的工作流程,明确了所运维的IT系统和设备的职责。事实上,运维审计系统的约束已经明确了这些约束和流程,大大提高了业务数据的安全性和IT系统的运维性。
此外,Bastion Machine产品符合国际流行的RBAC角色认证机制、P2DR安全模型、4A身份认证等安全防范体系,银行信息系统的安全防护水平正在实现质的飞跃。
3)证券公司
问题描述:
不仅无法客观支付赔偿金,更严重的是,在软件开发过程中,由于外包开发人员操作不当,导致证券公司部分系统模块突然停止工作10分钟的情况。导致设备长时间无法正常使用。结果,10分钟就损失了数百万美元,而且由于没有证据证明该公司是软件外包商,造成了严重的负面后果。
因此,后果只能由我们自己承担,但在组织内部的运维管理方面,存在着非授权运维、误操作、账号共享等运维问题。两者同时审核?运维能源管理是您组织的信息中心总监需要解决的紧迫问题吗?
解决了:
证券机构未来的发展过程,要求所有的运营维护和开发人员都要经过“门”。这道“门”就是金万维运维安全审计系统。所有人首先登录运维审核平台。然后根据设置的权限对目标设备进行操作和维护,并记录整个操作和维护过程。
此外,还可以将每个运维人员每日、每周、每月的运维状况汇总为报表和图表,在审计的同时进行运维管理。
客户利益:
通过引入运维安全审计系统,证券机构运维人员和外包第三方开发者可以进行账户集中管理,自动管理和配置第三方机构运维账户的“生命周期”。将会实现。 – 使用期限届满后,当事人开发者将失去该运维账号的登录权利。不仅如此,证券机构还可以针对风险操作制定安全策略,将已知风险降至最低。
在未来的发展过程中,证券机构将通过运维报告的统计数据来支付工资,播放“不一致”问题的视频,并在进行运维审计的同时找出问题的原因。提供证券的运营和维护。极大地促进了组织中信息技术的建立。
4)互联网IT公司
问题描述:
北京著名互联网IT公司一直致力于为客户提供数字媒体营销领域的前沿技术和卓越服务,如SEM/SEO/移动互联网广告、软件定制开发服务等。随着业务的增长,规模不断扩大,除北京研发中心外,公司在上海、广州等地建立了内外部研发团队,运营和维护近百台服务器。
随着研发人员和服务器规模的增加,账户管理分散、未授权运维、缺乏外部软件定制和开发流程记录、缺乏专人负责等严重问题逐渐显现。由于问题、研发人员责任心缺失等问题,无法评估每日、每周的工作效率,逐渐影响了整个研发团队的工作进度和计划协调。
解决了:
北京某知名互联网IT公司找到我公司后,进行了现场沟通分析,发现主要“核心”是公司除了有研发人员外,还有研发人员登录他们的公司。我发现这是我经常处理的事情。在进行系统升级和维护的同时,登录账户管理混乱,运维权限不明确,认证方式过于简单,没有手段监控运维流程。研发人员的运维次数没有合理的运维统计方法。
“对症下药”运维安全审计制度平台部署后,将对所有研发人员进行审计,确保合规人员能够进行有效的开发和维护活动,必须经过平台的“过滤”。 ID认证包括密码卡等方法。在强身份认证的情况下,用户交互被“过滤”,同时视频内容可以作为“纠错”。另一方面,“教材”。
通过引入运维审计系统,我们解决了问题的核心,解决了研发人员无法解决的管理审计问题。
客户利益:
运维审计制度的实施,切实提高了研发团队的合规性,以审计视频为教材,以运维报告为研发依据,确保了研发的高效、安全。为您的研发团队添加新的培训和KPI。
无论是从合规角度还是通过规范整体信息的运维,都可以有效提升管理和运营效率。
整理:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
#以上关于从跳板机到堡垒机,新的优势究竟在哪里?的相关内容来源网络仅供参考,相关信息请以官方公告为准!
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/91979.html
