IT安全運(yùn)維 | 堡壘機(jī)原理

2020-04-25 18:16 作者：admin 瀏覽量：

 
系統(tǒng)運(yùn)維堡壘機(jī)，主要功能為認(rèn)證、授權(quán)、審計(jì)，而各廠商又略有不同。作為IT運(yùn)維會(huì)經(jīng)常使用和部署。是安全運(yùn)維的一道強(qiáng)力的安全防線。堡壘機(jī)從使用拓樸上說，分為二種
網(wǎng)關(guān)型堡壘機(jī)
一般采用二層透明橋方式接入網(wǎng)絡(luò)，一般拓樸位置在運(yùn)維用戶前方，運(yùn)維用戶做運(yùn)維時(shí)，流量通過網(wǎng)關(guān)堡壘機(jī)，堡壘機(jī)對用戶的操作進(jìn)行審計(jì)。這種堡壘機(jī)在2012年前在國外的一些廠商曾經(jīng)這樣設(shè)計(jì)，國內(nèi)廠商很少有這樣設(shè)計(jì)。
因?yàn)檫@種堡壘機(jī)上線需要修改網(wǎng)絡(luò)拓樸，并且難實(shí)現(xiàn)SSO、應(yīng)用發(fā)布等功能，因此，目前已經(jīng)非常少見，市場占有率不到1%。
運(yùn)維審計(jì)型堡壘機(jī)
目前通用堡壘機(jī)為旁路接入模式，物理上旁路、邏輯上串行，用戶想要運(yùn)維時(shí)，必須通過堡壘機(jī)進(jìn)行跳轉(zhuǎn)登錄。這種堡壘機(jī)為通用模式，因?yàn)椴恍薷木W(wǎng)絡(luò)拓樸并且可以實(shí)現(xiàn)SSO、應(yīng)用發(fā)布等多種功能，已經(jīng)成為國內(nèi)堡壘機(jī)的主流模式。
 
堡壘機(jī)工作流程示意圖 1） 運(yùn)維人員在操作過程中首先連接到堡壘機(jī)，然后向堡壘機(jī)提交操作請求；
2） 該請求通過堡壘機(jī)的權(quán)限檢查后，堡壘機(jī)的應(yīng)用代理模塊將代替用戶連接到目標(biāo)設(shè)備完成該操作，之后目標(biāo)設(shè)備將操作結(jié)果返回給堡壘機(jī)，最后堡壘機(jī)再將操作結(jié)果返回給運(yùn)維操作人員。
通過這種方式，堡壘機(jī)邏輯上將運(yùn)維人員與目標(biāo)設(shè)備隔離開來，建立了從“運(yùn)維人員->堡壘機(jī)用戶賬號->授權(quán)->目標(biāo)設(shè)備賬號->目標(biāo)設(shè)備”的管理模式，解決操作權(quán)限控制和行為審計(jì)問題的同時(shí)，也解決了加密協(xié)議和圖形協(xié)議等無法通過協(xié)議還原進(jìn)行審計(jì)的問題。
 
在實(shí)際使用場景中堡壘機(jī)的使用人員通常可分為管理人員、運(yùn)維操作人員、審計(jì)人員三類用戶。管理員最重要的職責(zé)是根據(jù)相應(yīng)的安全策略和運(yùn)維人員應(yīng)有的操作權(quán)限來配置堡壘機(jī)的安全策略。堡壘機(jī)管理員登錄堡壘機(jī)后，在堡壘機(jī)內(nèi)部，“策略管理”組件負(fù)責(zé)與管理員進(jìn)行交互，并將管理員輸入的安全策略存儲(chǔ)到堡壘機(jī)內(nèi)部的策略配置庫中。“應(yīng)用代理”組件是堡壘機(jī)的核心，負(fù)責(zé)中轉(zhuǎn)運(yùn)維操作用戶的操作并與堡壘機(jī)內(nèi)部其他組件進(jìn)行交互。“應(yīng)用代理”組件收到運(yùn)維人員的操作請求后調(diào)用“策略管理”組件對該操作行為進(jìn)行核查，核查依據(jù)便是管理員已經(jīng)配置好的策略配置庫，如此次操作不符合安全策略“應(yīng)用代理”組件將拒絕該操作行為的執(zhí)行。運(yùn)維人員的操作行為通過“策略管理”組件的核查之后“應(yīng)用代理”組件則代替運(yùn)維人員連接目標(biāo)設(shè)備完成相應(yīng)操作，并將操作返回結(jié)果返回給對應(yīng)的運(yùn)維操作人員；同時(shí)此次操作過程被提交給堡壘機(jī)內(nèi)部的“審計(jì)模塊”，然后此次操作過程被記錄到審計(jì)日志數(shù)據(jù)庫中。最后當(dāng)需要調(diào)查運(yùn)維人員的歷史操作記錄時(shí)，由審計(jì)員登錄堡壘機(jī)進(jìn)行查詢，然后“審計(jì)模塊”從審計(jì)日志數(shù)據(jù)庫中讀取相應(yīng)日志記錄并展示在審計(jì)員交互界面上。
 
以上內(nèi)容由北京艾銻無限科技發(fā)展有限公司整理