堡壘機的作用與原理
目錄
摘要
1 前言
2 堡壘機的概念和種類
3 堡壘機運維操作審計的工作原理
4 如何選擇一款好的堡壘機產品
5 結束語
摘要:
在信息化社會,企事業單位業務對信息系統高度依賴,而信息系統維護人員往往擁有系統最高管理權限,其操作行為必須得到有效監管與審計。作為運維操作審計最佳解決方案的堡壘機通常會給人一種神秘莫測的感覺,為了讓大家更清楚的了解堡壘機和運維操作審計,本文對堡壘機的概念及主要工作原理進行簡要分析。
關鍵詞:堡壘機、運維操作審計、工作原理
1 前言
當今的時代是一個信息化社會,信息系統已成為各企事業單位業務運營的基礎,由於信息系統運維人員掌握著信息系統的最高權限,一旦運維操作出現安全問題將會給企業或單位帶來巨大的損失。因此,加強對運維人員操作行為的監管與審計是信息安全發展的必然趨勢。在此背景之下,針對運維操作管理與審計的堡壘機應運而生。堡壘機提供了一套多維度的運維操作控管控與審計解決方案,使得管理人員可以全面對各種資源(如網絡設備、服務器、安全設備和數據庫等)進行集中賬號管理、細粒度的權限管理和訪問審計,幫助企業提升內部風險控制水平。
2 堡壘機的概念和種類
“堡壘”一詞的含義是指用於防守的堅固建築物或比喻難於攻破的事物,因此從字面的意思來看“堡壘機”是指用於防禦攻擊的計算機。在實際應用中堡壘機又被稱為“堡壘主機”,是一個主機系統,其自身通常經過了一定的加固,具有較高的安全性,可抵禦一定的攻擊,其作用主要是將需要保護的信息系統資源與安全威脅的來源進行隔離,從而在被保護的資源前面形成一個堅固的“堡壘”,並且在抵禦威脅的同時又不影響普通用戶對資源的正常訪問。
基於其應用場景,堡壘機可分為兩種類型:
2.1網關型堡壘機
網關型的堡壘機被部署在外部網絡和內部網絡之間,其本身不直接向外部提供服務而是作為進入內部網絡的一個檢查點,用於提供對內部網絡特定資源的安全訪問控制。這類堡壘機不提供路由功能,將內外網從網絡層隔離開來,因此除非授權訪問外還可以過濾掉一些針對內網的來自應用層以下的攻擊,為內部網絡資源提供了一道安全屏障。但由於此類堡壘機需要處理應用層的數據內容,性能消耗很大,所以隨著網絡進出口處流量越來越大,部署在網關位置的堡壘機逐漸成為了性能瓶頸,因此網關型的堡壘機逐漸被日趨成熟的防火墻、UTM、IPS、網閘等安全產品所取代。
2.2 運維審計型堡壘機
第二種類型的堡壘機是審計型堡壘機,有時也被稱作“內控堡壘機”,這種類型的堡壘機也是當前應用最為普遍的一種。
運維審計型堡壘機的原理與網關型堡壘機類似,但其部署位置與應用場景不同且更為復雜。運維審計型堡壘機被部署在內網中的服務器和網絡設備等核心資源的前面,對運維人員的操作權限進行控制和操作行為審計;運維審計型堡壘機即解決了運維人員權限難以控制混亂局面,又可對違規操作行為進行控制和審計,而且由於運維操作本身不會產生大規模的流量,堡壘機不會成為性能的瓶頸,所以堡壘機作為運維操作審計的手段得到了快速發展。
最早將堡壘機用於運維操作審計的是金融、運營商等高端行業的用戶,由於這些用戶的信息化水平相對較高發展也比較快,隨著信息系統安全建設發展其對運維操作審計的需求表現也更為突出,而且這些用戶更容易受到 “信息系統等級保護”、“薩班斯法案”等法規政策的約束,因此基於堡壘機作為運維操作審計手段的上述特點,這些高端行業用戶率先將堡壘機應用於運維操作審計。
3 堡壘機運維操作審計的工作原理
作為運維操作審計手段的堡壘機的核心功能是用於實現對運維操作人員的權限控制與操作行為審計。
3.1 主要技術思路
如何實現對運維人員的權限控制與審計呢?堡壘機必須能夠截獲運維人員的操作,並能夠分析出其操作的內容。堡壘機的部署方式,確保它能夠截獲運維人員的所有操作行為,分析出其中的操作內容以實現權限控制和行為審計的目的,同時堡壘機還采用了應用代理的技術。運維審計型堡壘機對於運維操作人員相當於一臺代理服務器(Proxy Server),其工作流程如下圖所示:
圖1. 堡壘機工作流程示意圖
1) 運維人員在操作過程中首先連接到堡壘機,然後向堡壘機提交操作請求;
2) 該請求通過堡壘機的權限檢查後,堡壘機的應用代理模塊將代替用戶連接到目標設備完成該操作,之後目標設備將操作結果返回給堡壘機,最後堡壘機再將操作結果返回給運維操作人員。
通過這種方式,堡壘機邏輯上將運維人員與目標設備隔離開來,建立了從“運維人員->堡壘機用戶賬號->授權->目標設備賬號->目標設備”的管理模式,解決操作權限控制和行為審計問題的同時,也解決了加密協議和圖形協議等無法通過協議還原進行審計的問題。
3.2 工作原理簡介
下面就簡單介紹一下堡壘機運維操作審計的工作原理,其工作原理示意圖如下:
圖2. 堡壘機工作原理示意圖
在實際使用場景中堡壘機的使用人員通常可分為管理人員、運維操作人員、審計人員三類用戶。
管理員最重要的職責是根據相應的安全策略和運維人員應有的操作權限來配置堡壘機的安全策略。堡壘機管理員登錄堡壘機後,在堡壘機內部,“策略管理”組件負責與管理員進行交互,並將管理員輸入的安全策略存儲到堡壘機內部的策略配置庫中。
“應用代理”組件是堡壘機的核心,負責中轉運維操作用戶的操作並與堡壘機內部其他組件進行交互。“應用代理”組件收到運維人員的操作請求後調用“策略管理”組件對該操作行為進行核查,核查依據便是管理員已經配置好的策略配置庫,如此次操作不符合安全策略“應用代理”組件將拒絕該操作行為的執行。
運維人員的操作行為通過“策略管理”組件的核查之後“應用代理”組件則代替運維人員連接目標設備完成相應操作,並將操作返回結果返回給對應的運維操作人員;同時此次操作過程被提交給堡壘機內部的“審計模塊”,然後此次操作過程被記錄到審計日誌數據庫中。
最後當需要調查運維人員的歷史操作記錄時,由審計員登錄堡壘機進行查詢,然後“審計模塊”從審計日誌數據庫中讀取相應日誌記錄並展示在審計員交互界面上。
4 如何選擇一款好的堡壘機產品
對於信息系統的管理者來說除了工作原理以外可能更關心如何選擇一款好的運維審計堡壘機產品。一個好的運維審計堡壘機產品應實現對服務器、網絡設備、安全設備等核心資產的運維管理賬號的集中賬號管理、集中認證和授權,通過單點登錄,提供對操作行為的精細化管理和審計,達到運維管理簡單、方便、可靠的目的。
4.1 管理方便
應提供一套簡單直觀的賬號管理、授權管理策略,管理員可快速方便地查找某個用戶,查詢修改訪問權限;同時用戶能夠方便的通過登錄堡壘機對自己的基本信息進行管理,包括賬號、口令等進行修改更新。
4.2 可擴展性
當進行新系統建設或擴容時,需要增加新的設備到堡壘機時,系統應能方便的增加設備數量和設備種類。
4.3 精細審計
針對傳統網絡安全審計產品無法對通過加密、圖形運維操作協議進行為審計的缺陷,系統應能實現對RDP、VNC、X-Window、SSH、SFTP、HTTPS等協議進行集中審計,提供對各種操作的精細授權管理和實時監控審計。
4.4 審計可查
可實時監控和完整審計記錄所有維護人員的操作行為;並能根據需求,方便快速的查找到用戶的操作行為日誌,以便追查取證。
4.5 安全性
堡壘機自身需具備較高的安全性,須有冗余、備份措施,如日誌自動備份等。
4.6 部署方便
系統采用物理旁路,邏輯串聯的模式,不需要改變網絡拓撲結構,不需要在終端安裝客戶端軟件,不改變管理員、運維人員的操作習慣,也不影響正常業務運行。
5 結束語
本文簡要分析了堡壘機的概念以及其運維操作審計的主要工作原理。隨著信息安全的快速發展,來自內部的安全威脅日益增多,綜合防護、內部威脅防護等思想越來越受到重視,而各個層面的政策合規,如“薩班斯法案”、“信息系統等級保護”等等也紛紛對運維人員的操作行為審計提出明確要求。堡壘機作為運維安全審計產品將成為信息系統安全的最後一道防線,其作用也將越來越重要,應用範圍勢必會快速擴展到各個行業的信息系統。因此在當前的形勢之下,讓大家更加清楚的了解堡壘機也就十分必要了。
堡壘機的作用與原理