1、 运维操作管理系统(堡垒机)解决方案浙江齐治科技有限公司2013年 8月Copyright 2005-2012 齐治科技 第2页声明本文件所有权和解释权归齐治科技所有,未经齐治科技书面许可,不得复制或向第三方公开。修订历史记录(版本控制)版本号 作者 审核人 文档类型 保密级别 完成日期V1.0.0 DX Brian AD A 2011-1-21V2.1.0 DX Brian AD A 2011-5-18V3.2.0 DX Joe AD A 2012-1-17V3.3.0 DX Joe AD A 2013-8-8(文档类型 A-内部归档类, D-外部交付类)(保密级别 A-公开,B-有选择公开
2、,C-不公开)浙江齐治科技有限公司Copyright 2005-2012 齐治科技 第1页目 录1 现状分析 .22 解决方案 .43 功能实现 .114 方案优势 .255 客户收益 .276 成功案例 .28浙江齐治科技有限公司Copyright 2005-2012 齐治科技 第2页1 现状分析1.1 运维管理现状客户的维护部门主要负责应用系统以及信息系统基础平台的建设和维护,以及局内网络的建设和维护。现有数十台各种各样的服务器,其日常运维过程中都普遍存在以下现状: 用户的访问方式以内部直接远程访问为主。其中运维操作的远程访问方式又以 SSH/Telnet/RDP/VNC/X-window
3、/http/https/FTP/SFTP为主,设备数量比较多; 维护人员较多,并且部分设备的维护交由第三方维护厂商完成,维护操作比较分散,权限变更复杂; 使用设备上的共享系统账号进行认证与授权; 无法有效落实定期修改设备密码的规定; 用户的运维操作无审计; 需要定期接受等保、SOX、ISO27001 等法律法规标准的检查。1.2 存在问题 维护方式不统一; 共享账号难控制; 操作行为难约束; 设备密码难管理; 运维操作无审计; 法律法规难遵从;1.3 问题分析出现以上问题的主要原因在于: 运维操作不规范;浙江齐治科技有限公司Copyright 2005-2012 齐治科技 第3页 运维操作不透
4、明; 运维操作风险不可控;1.4 带来的后果 违规操作可能会导致设备/服务异常或者宕机; 恶意操作可能会导致系统上敏感数据/信息被篡改、被破坏; 当发生故障的时候,无法快速定位故障原因或者责任人;浙江齐治科技有限公司Copyright 2005-2012 齐治科技 第4页2 解决方案2.1 实现目标通过 Shterm的部署,可以有效的解决运维部门当前运维过程中存在的各种问题: 以堡垒方式,形成统一的运维入口,实现运维操作的唯一路径; 引入主从帐号管理概念,使用户认证与系统授权分开,从而有效解决系统帐号共享使用,带来的身份不唯一的问题; 基于用户、设备、系统帐号、协议类型、登录规则的严格访问控制
5、设置,有效规避了非授权访问带来的问题; 密码托管和自动改密,使得密码管理规范能有效落地,避免了因人员的流动还会导致设备密码存在外泄的风险; 能完整记录运维人员的操作过程,当系统因人为操作导致故障的时候,能够快速定位故障原因和责任人; 可以满足等保、SOX、ISO270001、BS7799 等安全规范对运维操作管理的要求。2.2 具体设计2.2.1 总设计思路因为操作的风险来源于各个方面,所以必须要从能够影响到操作的各个层面去降低风险。齐治运维操作管理系统(Shterm)采用操作代理(网关)方式实现集中管理,对身份、访问、审计、自动化操作等统一进行有效管理,真正帮助用户最小化运维操作风险。浙江齐
6、治科技有限公司Copyright 2005-2012 齐治科技 第5页集中管理是前提:只有集中以后才能够实现统一管理,只有集中管理才能把复杂问题简单化,分散是无法谈得上管理的,集中是运维管理发展的必然趋势,也是唯一的选择。身份管理是基础:身份管理解决的是维护操作者的身份问题。身份是用来识别和确认操作者的,因为所有的操作都是用户发起的,如果我们连操作的用户身份都无法确认,那么不管我们怎么控制,怎么审计都无法准确的定位操作责任人。所以身份管理是基础。访问控制是手段:操作者身份确定后,下一个问题就是他能访问什么资源、你能在目标资源上做什么操作。如果操作者可以随心所欲访问任何资源、在资源上做任何操作,
7、就等于没了控制,所以需要通过访问控制这种手段去限制合法操作者合法访问资源,有效降低未授权访问所带来的风险。操作审计是保证:操作审计要保证在出了事故以后快速定位操作者和事故原因,还原事故现场和举证。另外一个方面操作审计做为一种验证机制,验证和保证集中管理,身份管理,访问控制,权限控制策略的有效性。自动运维是目标:操作自动化是运维操作管理的终极目标,通过让该功能,可让堡垒机自动帮助运维人员执行各种常规操作,从而达到降低运维复杂度、提高运维效率的目的。2.2.2 操作网关方式部署集中管理是实现运维操作安全管理的首要前提。浙江齐治科技有限公司Copyright 2005-2012 齐治科技 第6页针对
8、当前核心设备分散管理的现状,集中管理倡导的是一种统一管理的理念。集中管理是未来运维操作安全管理的必然趋势。实现集中管理,关键点在于对用户原有的运维环境不造成任何影响。综合各种部署方案,我们采用了“操作堡垒机”的部署方式。2.2.3 用好共享账号在当前的运维环境中,普遍存在操作者身份无法识别的安全隐患。这主要是由操作者共享使用核心设备上的系统账号造成的。设备数量达到一定规模,必然会使用到共享账号。共享账号就是多人共同使用同一个存在于设备上的系统账号,使用共享账号会让整体账号的数量最少。但是仅仅依赖系统上的单一系统账号,无法既能区分用户身份,又能完成工作角色的定位。如何准确的区分用户身份和工作角色
9、,进而实现操作者和具体的操作过程一一对应? Shterm将账号的用户身份确认和系统工作角色功能分离,在 Shterm上增加了用户账号,完成用户的身份确认。原来系统上的账号依然存在,但是作用只是完成工作角色授权的工作账号。 用户登录 Shterm是采用唯一的用户账号,然后根据工作角色的需要,转换成系统账号登录到被管理设备上。这样既能够保证整体账号数量最少,管理方便;同时又能够实现对用户、工作角色的双重定位。当用户加入、离职或岗位变动,当代维人员和原厂商进行维护的时候,只需要在 Shterm上变更该用户账号即可,对系统上的系统账号没有任何影响。代维人员维护系统并不需要知道用户系统的最高权限的系统帐
10、号密码,这样大大降低了管理风险。原厂商进行临时维护的时候只需要临时分配一个用户账号,当使用结束后该账号会自动回收,减少了账号管理的成本。浙江齐治科技有限公司Copyright 2005-2012 齐治科技 第7页2.2.4 访问控制规则目前,用户只要知道用户名和密码就可以任意访问任意设备,这种现状必然会带来“未授权访问的安全风险”。部署了 Shterm后,情况就发生了变化。Shterm 逻辑上成为了用户登录的唯一入口,因为入口唯一,访问控制很容易配置了。相同工作任务的集合可以放置在一个访问规则组里,当用户岗位、职责改变时,对用户相关联的组、系统权限、可访问设备通过 Web的勾选,很容易调整。根
11、据工作内容的需要,可以配置不同的许可或禁止的登录策略。既可以设定固定日期的登录策略,也可以设定固定时间间隔的策略,还可以设定一天中指定时间段的策略,并且能够针对具体的地址段进行控制。Shterm的访问控制列表可以让用户一目了然的知道某台设备上允许哪些用户登录。某台设备上的系统账号有多少个用户可以使用。另一方面,从安全运维的角度分析,权限控制策略是从操作的层面上,降低高危操作所带来的安全风险:对于使用 Telnet/SSH等协议进行远程管理的设备(各种网络设备和 Unix服务器),操作权限的多少取决于用户可以执行的命令。所以,针对操作指令的控制才是核心。对于服务器设备操作,Shterm 可以对服
12、务器的超级用户 root操作权限进行控制,即使是 root用户,权限也是受限制的,可以限制 root用户只能执行某些操作(白名单)和无法执行某些操作(黑名单)。当多人同时使用一个 root账号时,Shterm 可以对同一个系统账号进行操作权限再分配,保证使用同一个 root账号的不同用户拥有不同的操作指令权限,彻底解决了共享 root账号权限一致的情况,真正实现细粒度的操作权限控制。对于网络设备操作,Shterm 可以保证即使多个用户在进入 enable状态的时候,提供高于网络设备系统更好级别的控制力度,保证每一个用户的操作指浙江齐治科技有限公司Copyright 2005-2012 齐治科技
13、 第8页令都能严格受到控制。对于操作权限的控制意味着我们从被动接受用户输入到了主动控制。对于用户的操作可以有 3种执行状态:允许执行,拒绝执行,禁止执行。对于高危命令(删除,重起,关机等)可以实时告警,一旦高危操作触发,会立即给相关人员发送告警邮件,保证用户在第一时间内知道高危操作是否对系统造成了影响。2.2.5 完整操作审计运维操作审计是整个 Shterm解决方案的重要组成部分。管理员确定了以操作网关方式来部署,解决了之前共享账号的问题,配置了访问规则,明确了操作权限,那么最后也是最重要的就是操作和操作审计。Shterm支持的运维操作方式和相应的操作审计基本涵盖了目前企业日常运维所涉及到的绝
14、大部分操作模式,包括字符会话、图形会话、Web Client 会话、文件传输等等。对不同会话采用不同的审计方式针对字符会话,Shterm 的审计功能会完全记录所有会话内的输入输出,并可以使用模式方式对这些输入输出进行查询以定位操作时间节点和操作内容。对于图形会话要采用全程的录像和键盘鼠标操作的记录,并在图形会话回放的过程中同步的显示出来。对于 Web Client方式的操作会话,也是目前非常主流的一种操作模式,Shterm 可以利用对于图形会话的审计方式来审计 Web Client方式的会话,即,既包括了图形录像也包括了键盘鼠标记录,并且可以如图形会话一样,键盘输入信息可以进行完全的检索以便快速定位一个较长的审计录像。针对文件传输,FTP、SFTP 之类的上传下载,Shterm 支持全部的信息记录,包含时间,人员,IP 等等信息。此外,Shterm 对审计人员本身也有严格要求,一方面,对审计人员的审计操作,Shterm 有严格的记录,审计管理员何时查阅了某个会话操作都要有明确记录。另一方面,Shterm 支持非全局性的操作审计,即,审计人员也没有权利审计所有的会话信息,因为会话中可能包含了非常敏感甚至机密的企业信息。
