一條策略實現堡壘機防繞過
堡壘機想必大家都很熟悉,許多大型資料中心均使用堡壘機進行單點登入及安全審計,也有部分使用者使用跳板機的方式實現了部分堡壘機的能力。
但現實和夢想總是有差距,想象中有了堡壘機,大家訪問伺服器應該是這樣的:
現實中是這樣的:
解決思路無非是訪問控制——所有伺服器的遠端連線服務只允許堡壘機進行訪問。(嗯,給全體人員發郵件進行宣傳教育是個好方法…)
解決思路有了,剩下的就是解決方案了:
解決方案一:防火牆
防火牆從誕生之日起就是為了解決訪問控制問題的,目前使用者最常用的方式是在辦公區和生產區之間通過防火牆限制員工直接訪問生產區伺服器的遠端連線服務。
想象中大家應該是這樣的:
現實中是這樣的:
解決方案二:多用幾臺防火牆
能想到縱深防禦,安全就又進了一步。在資料中心中根據業務系統、重要級別劃分多個安全域,用防火牆進行域間隔離,不僅可以限制堡壘機繞過後的行走範圍,也同樣減少了內部其他橫向移動的範圍。
例如某航空客戶,其5000多臺虛擬機器、100多個業務系統,內部採用40多臺防火牆進行隔離。這可能是基於現有技術能想到的最好方案,雖然每個區域內仍然有100多臺可以橫向移動,但40臺防火牆每天調整80多條安全策略已經是安全部門能承擔的上限了。
而且用過防火牆的都知道,時間一長几千上萬條防火牆策略運維起來是很可怕的(當然也不是所有客戶都有策略數太多的困擾——根據客戶的吐槽,某國內大廠的某型號防火牆,只能有1700條策略,一多就崩,這也讓客戶保持了逼自己精簡安全策略的習慣…)
好像有點跑題,多用幾臺防火牆解決堡壘機防繞過的缺點是什麼:
01
每個防火牆都需要配置至少一條安全策略,有任何變化調整起來也是累心。
02
大型資料中心域內仍然存在較大可橫移範圍。
還有一種技術是安全組,安全組主要是公有云廠家提供的一種能力,各家的實現邏輯也不盡相同。以阿里云為例,“同一安全組內的例項之間預設私網網路互通,不同安全組的例項之間預設私網不通。”當安全組記憶體在多臺虛擬機器時,類似於防火牆域間隔離的作用。但除此之外,安全組最大問題可能是很多私有云並不支援。
解決方案三:主機防火牆
當每臺虛擬機器一個安全組時和主機防火牆就有些類似了,區別主要是一個控制點在外,一個控制點在內。主機防火牆的確能夠將內部橫向移動範圍最小化,但缺點也很明確——太麻煩!50臺虛擬機器以下還能考慮,但在幾百上千臺虛擬機器環境下,每一臺通過iptables配置互相訪問的策略根本無法想象。
解決方案四:使用薔薇靈動蜂巢自適應微隔離安全平臺
一條策略實現堡壘機防繞過
完整視訊如下(1分45秒,6.52MB):
第一步,產品管理介面搜尋堡壘機,紅色代表存在不合規訪問
第二步,建立一條堡壘機全域性策略集。
第三步,設定策略範圍。策略範圍選擇“所有、所有、所有”,表示這個策略集中所有策略的生效範圍是所有的工作組。
第四步,新增一條安全策略。指定服務者(被訪問者)是所有角色,可被訪問的服務是ssh服務,訪問者是堡壘機。
產品利用標籤標識工作負載(指承載業務的主機),改變原防火牆基於IP的策略管理方式,即簡化安全策略的配置過程,又大大減少了安全策略的總數。而且在後續運維中,如果增加了工作負載,產品可以自動將此條策略配置到新工作負載上,無需人工調整。
第五步,檢視拓撲圖,堡壘機訪問其他主機ssh服務的連線變為綠色。若存在windows主機,還可在拓撲圖快速新增安全策略。
第六步,對策略進行釋出,策略同步到工作負載並生效。
文章來源於薔薇靈動