定義:
堡壘機,即在一個特定的網絡環境下,為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞,而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動,以便集中報警、記錄、分析、處理的一種技術手段。
簡介:
其從功能上講,它綜合了核心系統運維和安全審計管控兩大主干功能,從技術實現上講,通過切斷終端計算機對網絡和服務器資源的直接訪問,而采用協議代理的方式,接管了終端計算機對網絡和服務器的訪問。形象地說,終端計算機對目標的訪問,均需要經過運維安全審計的翻譯。打一個比方,運維安全審計扮演着看門者的工作,所有對網絡設備和服務器的請求都要從這扇大門經過。因此運維安全審計能夠攔截非法訪問,和惡意攻擊,對不合法命令進行命令阻斷,過濾掉所有對目標設備的非法訪問行為,並對內部人員誤操作和非法操作進行審計監控,以便事后責任追蹤。
原理:
“堡壘機”實際上是旁路在網絡交換機節點上的硬件設備,實現運維人員遠程訪問維護服務器的跳板,即物理上並聯,邏輯上串聯。簡單的說,就是服務器運維管理人員原先是直接通過遠程訪問技術進行服務器維護和操作,這期間不免有一些誤操作或者越權操作,而“堡壘機”作為遠程運維的跳板,使運維人員間接通過堡壘機進行對遠程服務的的運維操作。如原來使用微軟的遠程桌面RDP進行windows服務器的遠程運維,現在先訪問到堡壘機,再由堡壘機訪問遠程windows服務器。這期間,運維人員的所有操作都被記錄下來,可以以屏幕錄像、字符操作日志等形式長久保存。在服務器發生故障時,就可以通過保存的記錄查看到以前進行的任何操作。
堡壘機的核心技術實際上就是微軟的RDP協議,通過對RDP協議的解析,實現遠程運維操作的圖形審計。
以windows遠程運維操作為例,客戶端通過RDP協議訪問“堡壘機”,再由堡壘機內置的遠程訪問客戶端訪問遠程windows服務器,即RDP+RDP。
那么圖形界面的操作是如何記錄下來的呢?實際上堡壘機內部也是Windows操作系統(不一定,有時候是Windows+Linux),客戶端RDP到堡壘機后,又再一次啟動了新的RDP,這時堡壘機的windows桌面就是遠程訪問到遠程服務器時的桌面,只需要把這時的桌面情況記錄下來就可以了。
由於微軟的RDP協議內置了遠程訪問的屏幕信息,所以只需要正確的解析RDP協議的內容,並且把其中包含的視頻信息抽取出來,再進行重組、壓縮,就實現了圖形操作的審計。
至於字符操作的審計,如FTP,實際上堡壘機內部內置了FTP客戶端程序,也是客戶端主機先RDP到堡壘機,再由堡壘機啟動FTP客戶端程序訪問遠程服務器,這樣還是由堡壘機作為跳板,間接地把FTP命令傳送到服務器,並把服務器的響應信息反饋給客戶端主機,中間的操作過程全都被記錄了下來。
遠程視頻訪問的協議還有VNC,但由於VNC是一對一的訪問,即同一時間一個客戶端主機只能訪問一台遠程服務器,而RDP協議允許多個客戶端同時訪問同一個遠程服務器,所以一般市場上的堡壘機廠商都是通過解析RDP協議實現運維審計的。
單點登錄功能
支持對X11、linux、unix、數據庫、網絡設備、安全設備等一系列授權賬號進行密碼的自動化周期更改,簡化密碼管理,讓使用者無需記憶眾多系統密碼,即可實現自動登錄目標設備,便捷安全。
賬號管理
設備支持統一賬戶管理策略,能夠實現對所有服務器、網絡設備、安全設備等賬號進行集中管理,完成對賬號整個生命周期的監控,並且可以對設備進行特殊角色設置如:審計巡檢員、運維操作員、設備管理員等自定義設置,以滿足審計需求
身份認證
設備提供統一的認證接口,對用戶進行認證,支持身份認證模式包括 動態口令、靜態密碼、硬件key 、生物特征等多種認證方式,設備具有靈活的定制接口,可以與其他第三方認證服務器之間結合;安全的認證模式,有效提高了認證的安全性和可靠性。
資源授權
設備提供基於用戶、目標設備、時間、協議類型IP、行為等要素實現細粒度的操作授權,最大限度保護用戶資源的安全
訪問控制
設備支持對不同用戶進行不同策略的制定,細粒度的訪問控制能夠最大限度的保護用戶資源的安全,嚴防非法、越權訪問事件的發生。
操作審計
設備能夠對字符串、圖形、文件傳輸、數據庫等全程操作行為審計;通過設備錄像方式實時監控運維人員對操作系統、安全設備、網絡設備、數據庫等進行的各種操作,對違規行為進行事中控制。對終端指令信息能夠進行精確搜索,進行錄像精確定位。
登錄堡壘機
