 |
绿盟安全审计系统-堡垒机 产品白皮书 |
IT运维安全管理的变革刻不容缓
随着信息化的发展,企事业单位IT系统不断发展,网络规模迅速扩大设备数量激增,建设重点逐步从网络平台转向深化应用、提升效益为特征的运行维护阶段; IT系统运维与安全管理正逐渐走向融合。信息系统的安全运行直接关系企业效益,构建一个强健的IT运维安全管理体系对企业信息化的发展至关重要,对运维的安全性提出更高要求。
目前, 面对日趋复杂的IT系统,不同背景的运维人员已给企业信息系统安全运行带来较大潜在风险,主要表现在:
1. 账号管理无序,暗藏巨大风险
2.多个用户混用同一个账号
这种情况主要出现在同一工作组中,由于工作需要,同时系统管理账号唯一,因此只能多用户共享同一账号。如果发生安全事故,不仅难以定位账号的实际使用者和责任人,而且无法对账号的使用范围进行有效控制,存在较大安全风险和隐患。
一个用户使用多个账号
目前,一个维护人员使用多个账号是较为普遍的情况, 用户需要记忆多套口令同时在多套主机系统、网络设备之间切换。如果设备数量达到几十
目前,一个维护人员使用多个账号是较为普遍的情况, 用户需要记忆多套口令同时在多套主机系统、网络设备之间切换。如果设备数量达到几十甚至上百时,维护人员进行一项简单的配置需要分别逐一登录相关设备,其工作量和复杂度成倍增加,直接导致的后果是工作效率低下、管理繁琐甚至出现误操作,影响系统正常运行。
用户与账号的关系现状
粗放式权限管理,安全性难以保证
大多数企事业单位的IT运维均采用设备、操作系统自身的授权系统,授权功能分散在各设备和系统中。管理人员的权限大多是粗放式管理,由于缺少统一的运维操作授权策略,授权粒度粗,无法基于最小权限分配原则管理用户权限,难以与业务管理要求相协调;因此,导致出现如:运维人员权限过大和内部操作权限滥用等诸多问题,如果不及时解决,信息系统的安全性难以充分保证。
设备自身日志粒度粗,难以有效定位安全事件
在运维工作中,大多是通过各网络设备、操作系统的系统日志进行监控审计,但是由于各系统自身审计日志分散、内容深浅不一,且无法根据业务要求,制定统一审计策略;因此,难以及时通过系统自身审计发现违规操作行为和追查取证。
第三方代维人员带来安全隐患
目前,越来越多的企业选择将非核心业务外包给设备商或代维公司,在享受便利的同时,由于代维人员流动性大、对操作行为缺少监控带来的风险日益凸现;因此,需要通过严格的权限控制和操作行为审计,加强对代维人员的行为管理,从而达到消隐患、避风险的目的。
传统网络安全审计系统已无法满足运维审计和管理的要求
无法审计运维加密协议、远程桌面内容
为了加强信息系统风险内控管理,一些企业已部署网络安全审计系统,希望达到对运维人员操作行为监控的目的。由于传统网络安全审计的技术实现方式和系统架构(主要通过旁路镜像或分光方式,分析网络数据包进行审计),导致该系统只能对一些非加密的运维操作协议进行审计,如telnet;却无法对维护人员经常使用的SSH、RDP等加密协议、远程桌面等进行内容审计, 无法有效解决对运维人员操作行为的监管问题。
基于IP的审计,难以准确定位责任人
大多数网络安全审计系统,只能审计到IP地址,难以将IP与具体人员身份准确关联,导致发生安全事故后,如何追查责任人,反而又成为新的难题。
面临法规遵从的压力
为加强信息系统风险管理,政府、金融、运营商等陆续发布信息系统管理规范和要求,如“信息系统等级保护”、“商业银行信息科技风险管理指引”、“企业内部控制基本规范”等均要求采取信息系统风险内控与审计,但其自身确没有有效的技术手段。
上述风险带来的运维安全风险和审计监管问题,已经成为企业信息系统安全运行的严重隐患,制约业务发展,影响企业效益。企业IT运维安全管理的变革已刻不容缓!
目标
绿盟安全审计系统-堡垒机系列(NSFOCUS SAS-H Series,以下简称堡垒机或SAS-H)提供一套先进的运维安全管控与审计解决方案,目标是帮助企业转变传统IT 安全运维被动响应的模式,建立面向用户的集中、主动的运维安全管控模式,降低人为安全风险,满足合规要求,保障企业效益。
绿盟堡垒机产品通过逻辑上将人与目标设备分离,建立“人->主账号(堡垒机用户账号)->授权->从账号(目标设备账号)->目标设备”的管理模式;在此模式下,通过基于唯一身份标识的集中账号与访问控制策略 ,与各服务器、网络设备等无缝连接,实现集中精细化运维操作管控与审计。
核心思路
管理对象
用户对象:管理员、运维人员、第三方代维人员等。
设备对象:服务器(Windows/Linux/UNIX)、网络设备、安全设备、数据库等。
管理范围
集中监控各种运维操作行为。
协议类型
SSH、TELNET、RDP、VNC、FTP、SFTP等。
部署方式
堡垒机采用“物理旁路,逻辑串联”的部署思路,主要通过两步实现:
1.通过配置交换机或需要管理设备的访问控制策略,只允许堡垒机的IP可以访问需要管理的设备。
2.将堡垒机连接到对应交换机,确保所有维护人员到堡垒机IP可达。
3.达成效果
4.建立集中的运维操作监控平台,建立基于唯一身份标识的实名制管理,统一账号管理策略,实现跨平台管理,消灭管理孤岛。
5.通过集中访问控制与授权,实现单点登录(SSO)和细粒度的命令级访问授权。
6.基于用户的审计,审计到人,实现从登录到退出的全程操作行为审计,满足合规管理和审计要求。
下面分别从堡垒机的管理员和普通用户的角度,介绍实现流程与效果:
管理员制定策略
添加设备
管理员添加需要管理的设备。设备包括服务器、网络设备、安全设备等维护对象,支持编辑相关设备信息包括设备类型、所属部门、设备名称、IP地址、协议类型等。
添加从账号
管理员添加与设备对应的从账号(即设备的系统账号,范围包括服务器、网络设备等),包括账号名、口令等;其中口令可由堡垒机定期自动更新。
添加主账号
管理员添加主账号(即普通用户账号)。主账号是登录堡垒机,获取目标设备访问权利的唯一账号,与实际用户身份一一对应,每个用户一个主账号,每个主账号只属于一个用户。
建立主账号到设备的访问控制与审计策略
基于访问权限策略,管理员建立基于“时间+主账号+目标设备+从账号+协议类型+权限+审计”等要素的关联管理策略。
堡垒机对管理员配置行为全过程审计
堡垒机自动记录管理员的设备管理、账号管理和权限管理的所有行为日志,以便审计员监控。
普通用户访问目标设备
普通用户登录堡垒机后,可以实现下述功能:
1.可修改堡垒机为其分配的密码;
2.可集中访问各类已授权设备;
3.用户点击设备名称,无须再次输入密码,即可实现对各种设备的登录。
具体实现流程如下:
普通用户访问目标设备
登录请求
用户在终端通HTTPS登录堡垒机,输入主账号和口令,发起访问请求。
.登录认证
堡垒机的认证模块对用户的认证请求进行鉴别。
.检查主账号访问权限
认证成功之后,堡垒机的权限管理模块通过分析主账号属性(包括可访问的目标设备、访问权限、协议类型等)之后;直观显示主账号可访问的所有设备。
访问目标设备
用户选择需要访问的目标设备,进行操作维护。如果有违反访问控制策略的行为,堡垒机基于策略将自动记录、阻断及电邮通知管理员。
.返回访问结果
堡垒机将用户访问目标设备的所有操作执行结果,返回到用户的终端。
.用户访问行为全程审计
堡垒机全程审计用户“登录堡垒机->目标设备访问操作->退出系统”的所有行为。
系统价值
绿盟安全审计系统-堡垒机为企业带来的价值主要体现在:
1.管理效益
2.所有运维账号在一个平台上进行管理,账号管理更加简单有序;
3.通过建立用户与账号的唯一对应关系,确保用户拥有的权限是完成任务所需的最小权限;
4.可视化运维行为监控,及时预警发现违规操作。
5.用户效益
运维人员只需记忆一个账号和口令,一次登录,便可实现对其所维护的多台设备的访问,提高工作效率,降低工作复杂度。
企业效益
降低人为安全风险,避免安全损失,满足合规要求,保障企业效益。
系统介绍
系统功能
绿盟堡垒机产品主要有三大功能:
系统功能
中账号管理
建立基于唯一身份标识的全局实名制管理,支持统一账号管理策略,实现与各服务器、网络设备等无缝连接。
集中访问控制
通过集中访问控制和细粒度的命令级授权策略,基于最小权限原则,实现集中有序的运维操作管理,让正确的人做正确的事。
集中安全审计
基于唯一身份标识,通过对用户从登录到退出的全程操作行为进行审计,监控用户对目标设备的所有敏感操作,聚焦关键事件,实现对安全事件地及时发现预警,及准确可查。
系统架构
绿盟安全审计系统-堡垒机系列由平台管理模块、功能管理模块和平台接口构成。总体架构如下图所示:
系统架构
功能管理模块
提供账号管理功能、认证管理功能、权限管理功能和审计管理功能。
1.账号管理:提供账号生命周期管理,包括账号创建、账号修改、状态调整、账号删除、账号查询等功能。
2.认证管理:支持多种认证方式,包括本地认证、LDAP/RADIUS认证。
3.权限管理:提供基于时间、用户/用户组、设备/设备组、命令关键字、危险级别等组合策略,授权用户可访问的目标设备及可使用的命令。
4.审计管理:提供对用户通过堡垒机对目标设备的所有操作行为审计、事件查询分析和报表管理。
5.平台管理
提供对堡垒机平台自身的管理,包括系统配置管理、系统监控及审计日志管理。
平台接口
提供对用户(包括管理员、运维人员、代维人员等)、设备(包括服务器、网络设备等)的各种管理接口,包括账号的同步和导入接口、认证接口、访问接口。
产品特性
集中的运维操作管控平台
绿盟堡垒机产品通过集中管控平台整合企业的运维行为管理,将运维操作集中可视化管控,通过基于唯一身份标识的集中账号与访问控制策略,实现与各服务器、网络设备等无缝连接,一站直达,降低多种设备类型带来的管理复杂度问题,快速发现和处置违规事件。
跨平台无缝管理
绿盟堡垒机产品具有跨平台的运维行为管控能力,可覆盖多种主流主机操作系统、网络设备和运维协议。
1.协议类型:SSH、RDP、VNC、SFTP、Telnet、FTP等;
2.操作系统类型:FreeBSD、Solaris、Red Hat Linux、Windows等;
3.网络设备类型:Cisco、HUAWEI等厂商的网络设备。
多维度访问控制与授权
绿盟堡垒机产品支持基于角色的访问控制(RBAC ,Role-Based Access Control)。管理员可按照时间、部门、职责和安全策略等维度,设置细粒度权限策略,让正确的人做正确的事,简化授权管理。
绿盟堡垒机产品通过集中统一的访问控制和细粒度的命令级授权策略,确保用户拥有的权限是完成任务所需的最小权限。系统支持创建基于时间、IP/IP段、用户/用户组、设备/设备组、命令关键字、危险级别(分为高、中、低)等元素的组合条件,授权用户可访问的目标设备、定义高危操作监控策略。当用户越权执行特定命令的时候,实时进行告警、阻断,确保信息系统安全运行。
一站式管理
绿盟堡垒机产品支持多种认证方式,包括本地认证、LDAP认证、RADIUS认证等。运维人员登录绿盟堡垒机产品并经过认证授权后就可以直接访问所有已授权服务器、网络设备,无须再次手工登录,无须记忆多个账号和口令,提高用户工作效率、改善用户体验。
基于唯一身份标识的审计
绿盟堡垒机产品主账号是获取目标设备访问权利的唯一账号,与实际用户身份一一对应,确保不同设备、系统间行为审计的一致性,从而准确定位事故责任人,弥补传统网络安全审计产品无法准确定位用户身份的缺陷。
全程运维行为审计
绿盟堡垒机可完整审计运维人员通过账号“在什么时间登录什么设备、做什么操作、返回什么结果、什么时间登出”等行为,全面记录“运维人员从登录到退出”的整个过程,帮助管理人员及时发现权限滥用、违规操作,准确定位身份,以便追查取证。
1.字符会话审计 系统支持审计通过SSH、TELNET等协议的操作行为,审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级、操作命令等。可提供操作内容倍速回放功能。
2.图形操作审计 系统支持审计通过RDP、VNC等远程桌面的操作行为,审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级、操作内容等。支持通过视频录像方式记录操作内容,可提供倍速回放、进度拖拉等功能。
3.文件传输审计 系统支持审计通过SFTP、FTP等协议的操作行为,审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、目标设备IP、协议类型、文件名称、危险等级、操作命令等。可提供操作内容倍速回放功能。
基于对象的虚拟审计系统
绿盟堡垒机产品提供业界领先的基于对象的策略管理系统,完全统一的规则配置方式强大而灵活,实现基于对象的虚拟审计系统(VAS)。系统针对企业不同的网络环境和安全需求,基于安全区、IP地址(组、段)、规则(组)、时间、动作等对象,制定不同的规则和响应方式,就像一台设备上虚拟出很多虚拟审计系统,每个虚拟审计系统分别执行不同的规则集,实现面向不同部门职能、不同业务应用、不同策略的智能化安全审计。如下图 4.1 所示:
|
