《NSFRODSASHV产品白皮书V》由会员分享,可在线阅读,更多相关《NSFRODSASHV产品白皮书V(26页珍藏版)》请在金锄头文库上搜索。
1、绿盟安全审计系统-堡垒机产品白皮书 文档产品白皮书 密级完全公开狮节版本日期2013-1-8狮节 撰写刘敏 批准段小华2020绿盟科技版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。版本变更记录时间版本说明修改人2011-12-13新建,根据更新内容刘敏2013-1-8根据V版本更新内容刘敏2013-7-19根据版本特性更新内容赵永2014-2-12根据版本特性更新内容刘敏目录插图索引一.IT安全运维管理的变革刻不容缓随着信
2、息化的发展,企事业单位IT系统不断发展,网络规模迅速扩大、设备数量激增,建设重点逐步从网络平台建设,转向以深化应用、提升效益为特征的运行维护阶段,IT系统运维与安全管理正逐渐走向融合。信息系统的安全运行直接关系企业效益,构建一个强健的IT运维安全管理体系对企业信息化的发展至关重要,对运维的安全性提出了更高要求。目前,面对日趋复杂的IT系统,不同背景的运维人员已给企业信息系统安全运行带来较大潜在风险,主要表现在:1 .账号管理无序,暗藏巨大风险多个用户混用同一个账号这种情况主要出现在同一工作组中,由于工作需要,同时系统管理账号唯一,因此只能多用户共享同一账号。不仅在发生安全事故时难以定位账号的实
3、际使用者和责任人,而且无法对账号的使用范围进行有效控制,存在较大安全隐患。一个用户使用多个账号目前,一个维护人员使用多个账号是较为普遍的情况,用户需要记忆多套口令同时在多套主机系统、网络设备之间切换。如果设备数量达到几十甚至上百台时,维护人员进行一项简单的配置需要分别逐一登录相关设备,其工作量和复杂度成倍增加,直接导致的后果是工作效率低下、管理繁琐甚至出现误操作,影响系统正常运行。图1.1用户与账号的关系现状2 .粗放式权限管理,安全性难以保证大多数企事业单位的IT运维均采用设备、操作系统自身的授权系统,授权功能分散在各设备和系统中。管理人员的权限大多是粗放式管理,由于缺少统一的运维操作授权策
4、略,授权粒度粗,无法基于最小权限分配原则管理用户权限,难以与业务管理要求相协调。因此,出现运维人员权限过大、内部操作权限滥用等诸多问题,如果不及时解决,信息系统的安全性难以充分保证。3 .设备自身日志粒度粗,难以有效定位安全事件在运维工作中,大多是通过各网络设备、操作系统的系统日志进行监控审计,但是由于各系统自身审计日志分散、内容深浅不一,且无法根据业务要求制定统一审计策略;因此,难以通过系统自身审计及时发现违规操作行为和追查取证。4 .第三方代维人员带来安全隐患目前,越来越多的企业选择将非核心业务外包给设备商或代维公司,在享受便利的同时,由于代维人员流动性大、对操作行为缺少监控带来的风险日益
5、凸显。因此,需要通过严格的权限控制和操作行为审计,加强对代维人员的行为管理,从而达到消隐患、避风险的目的。5 .传统网络安全审计系统已无法满足运维审计和管理的要求无法审计运维加密协议、远程桌面内容为了加强信息系统风险内控管理,一些企业已部署网络安全审计系统,希望达到对运维人员操作行为监控的目的。由于传统网络安全审计的技术实现方式和系统架构(主要通过旁路镜像或分光方式,分析网络数据包进行审计),导致该系统只能对一些非加密的运维操作协议进行审计,如Telnet;而无法对维护人员经常使用的SSHRD博加密协议、远程桌面等进行内容审计,无法有效解决对运维人员操作行为的监管问题。基于IP的审计,难以准确
6、定位责任人大多数网络安全审计系统,只能审计到IP地址,难以将IP地址与具体人员身份准确关联,导致发生安全事故后,追查责任人成为新的难题。6 .面临法规遵从的压力为加强信息系统风险管理,政府、金融、运营商等陆续发布信息系统管理规范和要求,如“信息系统等级保护”、“商业银行信息科技风险管理指引”、“企业内部控制基本规范”等均要求采取信息系统风险内控与审计,但其自身确没有有效的技术手段。上述风险带来的运维安全风险和审计监管问题,已经成为企业信息系统安全运行的严重隐患,制约业务发展,影响企业效益。企业IT运维安全管理的变革已刻不容缓!二.解决之道2.1 目标绿盟安全审计系统-堡垒机系列(NSFOCUS
7、SAS-HSeries以下简称堡垒机或SAS-H)提供一套先进的运维安全管控与审计解决方案,目标是帮助企业转变传统IT安全运维被动响应的模式,建立面向用户的集中、主动的运维安全管控模式,降低人为安全风险,满足合规要求,保障企业效益。绿盟堡垒机产品通过逻辑上将人与目标设备分离,建立“人-主账号(堡垒机用户账号),授权-从账号(目标设备账号),目标设备”的管理模式;在此模式下,通过基于唯一身份标识的集中账号与访问控制策略,与各服务器、网络设备、安全设备、数据库服务器等无缝连接,实现集中精细化运维操作管控与审计。图2.1核心思路2.2 应用场景堡垒机的典型应用场景如下图所示:管理对象用户对象:管理员
8、、运维人员、第三方代维人员等。设备对象:服务器(Windows/Linux/UNIX)、网络设备、安全设备、数据库等。管理范围集中监控各种运维操作行为。协议类型SSHTelnet、RDPVNCFTP、SFTPHTTPHTTP年应用类型各类数据库客户端、浏览器、专有客户端工具等。部署方式堡垒机采用“物理旁路,逻辑串联”的部署思路,主要通过两步实现:1)通过配置交换机或目标设备的访问控制策略,只允许堡垒机的IP访问目标设备的运维、管理服务。2)将堡垒机连接到对应交换机,确保所有维护人员到堡垒机IP可达。达成效果建立集中的运维操作监控平台,建立基于唯一身份标识的实名制管理,统一账号管理策略,实现跨平
9、台管理,消灭管理孤岛。通过集中访问控制与授权,实现单点登录(SSO)和细粒度的命令级访问授权。基于用户的审计,审计到人,实现从登录到退出的全程操作行为审计,满足合规管理和审计要求。下面分别从堡垒机的管理员和普通用户的角度,介绍实现流程与效果:2.2.2 管理员制定运维管理策略图2.3管理员制定策略一. .添加设备管理员添加需要管理的设备。设备包括服务器、网络设备、安全设备、前置机、数据库服务器等维护对象,支持编辑相关设备信息包括设备类型、所属部门、设备名称、IP地址、协议类型、应用程序等。二. .添加从账号管理员添加与设备对应的从账号(即设备的系统账号、数据库账号或WE瞪录账号),包括账号名、
10、口令等;其中口令可由堡垒机定期自动更新。三. .添加主账号管理员添加主账号(即普通用户账号)。主账号是登录堡垒机,获取目标设备访问权的唯一账号,与实际用户身份一一对应,每个用户一个主账号,每个主账号只属于一个用户。四. .建立主账号到设备的访问控制与审计策略基于访问权限策略,管理员建立基于“时间+主账号+目标设备+从账号+权限+审计”等要素的关联管理策略。五. .管理员配置行为全程审计堡垒机自动记录管理员的设备管理、账号管理和权限管理等所有行为日志,以便审计员监控。2.2.3 普通用户访问目标设备普通用户登录堡垒机后,可以实现下述功能:可修改堡垒机登录密码;可集中访问各类已授权设备;用户点击设
11、备名称,无须再次输入密码,即可实现对各种设备的登录。具体实现流程如下:4 .登录请求用户在终端通过HTTPSK第三方客户端工具登录堡垒机,输入主账号和口令,发起访问请求。5 .登录认证堡垒机的认证模块对用户的认证请求进行鉴别。6 .检查主账号访问权限认证成功之后,堡垒机的权限管理模块通过分析主账号属性(包括可访问的目标设备、访问权限、从账号、协议类型、应用程序等),确定主账号可访问的所有设备。7 .显示可访问设备直观地呈现出主账号可访问的所有目标设备。8 .访问目标设备用户选择需要访问的目标设备,进行操作维护。如果有违反访问控制策略的行为,堡垒机基于策略将自动记录、阻断及电邮通知管理员。9 .
12、返回访问结果堡垒机将用户访问目标设备的所有操作执行结果,返回到用户终端。10 .用户访问行为全程审计堡垒机全程审计用户“登录堡垒机,目标设备访问操作-退出系统”的所有行为。2.3 系统价值绿盟安全审计系统-堡垒机为企业带来的价值主要体现在:管理效益所有运维账号在一个平台上进行管理,账号管理更加简单有序;通过建立用户与账号的唯一对应关系,确保用户拥有的权限是完成任务所需的最小权限;可视化运维行为监控,及时预警发现违规操作。用户效益运维人员只需记忆一个账号和口令,一次登录,便可实现对其所维护的多台设备的访问,提高工作效率,降低工作复杂度。企业效益降低人为安全风险,避免安全损失,满足合规要求,保障企
13、业效益三.系统介绍系统功能绿盟安全审计系统-堡垒机产品主要有三大功能:图3.1系统功能集中账号管理建立基于唯一身份标识的全局实名制管理,支持统一账号管理策略,实现与各服务器、网络设备、安全设备、数据库服务器等无缝连接。集中访问控制通过集中访问控制和细粒度的命令级授权策略,基于最小权限原则,实现集中有序的运维操作管理,让正确的人做正确的事。集中安全审计基于唯一身份标识,通过对用户从登录到退出的全程操作行为进行审计,监控用户对目标设备的所有敏感操作,聚焦关键事件,实现对安全事件的实时发现与预警。系统架构绿盟安全审计系统-堡垒机系列由平台管理模块、功能管理模块和平台接口构成。总体架构如下图所示:图3
14、.2系统架构.功能管理模块提供账号管理功能、认证管理功能、权限管理功能和审计管理功能。账号管理:提供账号生命周期管理,包括账号创建、账号修改、状态调整、账号删除、账号查询等功能。认证管理:支持多种认证方式,包括本地认证、LDAP/RADIUS认证。权限管理:提供基于时间、用户/用户组、设备/设备组、设备账号、命令关键字、危险级别等组合策略,授权用户可访问的目标设备及可使用的命令。审计管理:提供对用户通过堡垒机对目标设备的所有操作行为审计、事件查询分析和报表管理。.平台管理提供对堡垒机平台自身的管理,包括系统配置管理、系统监控及审计日志管理。.平台接口提供对用户(包括管理员、运维人员、代维人员等
15、)、设备(包括服务器、网络设备、安全设备、数据库服务器等)的各种管理接口,包括设备导入接口、账号的同步和导入接口、认证接口、访问接口等。.产品特性多维度、细粒度的认证与授权体系灵活的认证方式绿盟堡垒机产品对主账号的认证,支持本地认证、LDAPU证、RADIUS认证、USBkey认证等多种方式,能够根据用户实际需求,设置混合认证方式,即不同主账号采取不同的认证方式,实现按需设置认证方式。多维度、细粒度的访问控制绿盟堡垒机产品支持基于角色的访问控制(RBAC,Role-BasedAccessControl)o管理员可按照时间、部门、职责和安全策略等维度,设置细粒度权限策略,让正确的人做正确的事,简化授权管理。通过集中统一的访问控制和细粒度的命令级授权策略,确保用户拥有的权限是完成任务所需的最小权限。系统支
