堡垒机运维操作审计的工作原理
在实际使用场景中,堡垒机的使用人员通常可分为管理人员、运维操作人员、审计人员三类用户。
管理员重要的职责是根据相应的安全策略和运维人员应有的操作权限来配置堡垒机的安全策略。堡垒机管理员登录堡垒机后,在堡垒机内部,“策略管理”组件负责与管理员进行交互,并将管理 员输入的安全策略存储到堡垒机内部的策略配置库中。
“应用代理”组件是堡垒机的,负责中转运维操作用户的操作,并与堡垒机内部其他组件进行交互。“应用代理”组件收到运维人员的操作请求后,调用“策略管理”组件对该操作行为进行核查,核查依据便是管理员已经配置好的策略配置库,如此次操作不符合安全策略,代理”组件将拒绝该操作行为的执行。
为什么需要堡垒机?
堡垒机是从跳板机(也叫前置机)的概念演变过来的。早在2000年左右,一些中大型企业为了能对运维人员的远程登录进行集中管理,会在机房部署一台跳板机。跳板机其实就是一台unix/windows操作系统的服务器,所有运维人员都需要先远程登录跳板机,然后再从跳板机登录其他服务器中进行运维操作。
但跳板机并没有实现对运维人员操作行为的控制和审计,使用跳板机过程中还是会有误操作、违规操作导致的操作事故,一旦出现操作事故很难快速定位原因和责任人。此外,跳板机存在严重的安全风险,一旦跳板机系统被攻入,则将后端资源风险完全暴露无遗。同时,对于个别资源(如telnet)可以通过跳板机来完成一定的内控,但是对于更多更特殊的资源(ftp、rdp等)来讲就显得力不从心了。
堡垒机的规模
堡垒机的规模主要取决于需要管理的设备数量和并发用户数量。设备数量越多,需要管理的复杂度越高,需要更多的存储空间和计算资源。并发用户数量越多,需要支持更高的网络带宽和处理能力。因此,在选择堡垒机时,需要根据自己的规模来确定合适的硬件配置和软件授权。
一般来说,堡垒机的价格会随着规模的增加而增加。商业堡垒机通常会根据设备数量或并发用户数量来收取不同的授权费用。开源堡垒机则需要根据实际情况来配置合适的硬件设备,并承担相应的运行成本。因此,在选择堡垒机时,需要根据自己的规模来进行合理的估算。
堡垒机的作用
指令审核
堡垒机具有安全审计功能,主要对审计运维人员的账号使用情况,包括登录、资源访问、资源使用等。针对敏感指令,堡垒机可以对操作进行阻断响应或触发审核的操作情况,审核未通过的敏感指令,堡垒机将进行拦截。
审计录像
堡垒机除了可以提供安全层面外,还可以利用堡垒机的事前权限授权、事中敏感指令拦截外,以及堡垒机事后运维审计的特性。运维人员在堡垒机中所进行的运维操作均会以日志的形式记录,管理者即通过日志对微云人员的操作进行安全审计录像。
身份认证
堡垒机可以为运维人员提供不同强度的认证方式,既可以保持原有的静态口令方式,还可以提供、短信等认证方式。堡垒机不仅可以实现用户认证的统一管理,还能为运维人员提供统一一致的认证门户,实现企业的信息资源访问的单点登录。
以上信息由专业从事便携式堡垒机厂家的国泰网信于2025/6/20 10:13:08发布
转载请注明来源:http://beijing.mf1288.com/bjgtwx-2870770033.html
