堡壘機(jī)在運(yùn)維管理工作中的應(yīng)用

隨著新技術(shù)的發(fā)展和應(yīng)用，網(wǎng)絡(luò)在給人們帶來極大便捷的同時(shí)，網(wǎng)絡(luò)威脅也無處不在，企業(yè)信息、商業(yè)機(jī)密隨時(shí)都面臨著泄露風(fēng)險(xiǎn)，于是網(wǎng)絡(luò)安全已成為人們?nèi)找骊P(guān)注的焦點(diǎn)。在企業(yè)信息系統(tǒng)運(yùn)維管理中，通過在運(yùn)維人員和設(shè)備之間架設(shè)一臺(tái)堡壘機(jī)，通過堡壘機(jī)登錄目標(biāo)資源，可以對(duì)用戶的真實(shí)身份和目標(biāo)資源進(jìn)行統(tǒng)一管理，并可以在一定程度上實(shí)現(xiàn)訪問控制。

一、應(yīng)用背景

目前，隨著新技術(shù)的發(fā)展和應(yīng)用，各類協(xié)同辦公系統(tǒng)、信息系統(tǒng)等給人們的工作帶來了極大的方便，極大的提升了企業(yè)的工作效率，但與此同時(shí)，網(wǎng)絡(luò)威脅已無處不在，企業(yè)信息、商業(yè)機(jī)密等隨時(shí)都面臨著泄露和攻擊的風(fēng)險(xiǎn)。

根據(jù)《信息安全技術(shù)——網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》即等保2.0標(biāo)準(zhǔn)，我們發(fā)現(xiàn)在運(yùn)維管理工作中我們面臨著許多風(fēng)險(xiǎn)：1）賬號(hào)管理混亂的風(fēng)險(xiǎn)：多個(gè)用戶使用同一賬號(hào)、一個(gè)用戶使用多個(gè)賬號(hào)、臨時(shí)賬號(hào)等導(dǎo)致難以定位賬號(hào)的實(shí)際責(zé)任人。2）粗放式權(quán)限管理的風(fēng)險(xiǎn)：缺少統(tǒng)一的運(yùn)維操作授權(quán)策略、授權(quán)粗粒度等導(dǎo)致的內(nèi)部操作權(quán)限濫用。3）第三方代維帶來安全隱患：代維人員流動(dòng)性大、缺少行為監(jiān)控導(dǎo)致機(jī)密數(shù)據(jù)泄漏。4）設(shè)備自身日志及傳統(tǒng)審計(jì)粗粒度的風(fēng)險(xiǎn)：設(shè)備自身日志分散、內(nèi)容深淺不一，且傳統(tǒng)網(wǎng)絡(luò)安全審計(jì)無法審計(jì)加密協(xié)議、遠(yuǎn)程桌面內(nèi)容基本只能基于IP審計(jì)導(dǎo)致審計(jì)盲區(qū)?；谝陨巷L(fēng)險(xiǎn)，可以在運(yùn)維人員和目標(biāo)設(shè)備之間架設(shè)一臺(tái)堡壘機(jī)。運(yùn)維人員必須通過堡壘機(jī)登錄目標(biāo)資源，從而統(tǒng)一管理用戶，對(duì)目標(biāo)資源到用戶的權(quán)限映射進(jìn)行管理（即授權(quán)管理）。因?yàn)檫\(yùn)維人員的完整運(yùn)維流程都是由堡壘機(jī)代理的，所以堡壘機(jī)可以通過視頻錄像的方式完整的記錄用戶運(yùn)維行為的全過程，并可以在一定程度上實(shí)現(xiàn)訪問控制。

二、堡壘機(jī)的主要功能和部署收益

堡壘機(jī)可以進(jìn)行事前規(guī)劃、事中控制和事后審計(jì)。在事前規(guī)劃過程中，其可以進(jìn)行身份鑒別、訪問授權(quán)和操作授權(quán)；在事中控制過程中，其可以進(jìn)行單點(diǎn)登錄、實(shí)時(shí)監(jiān)控和告警阻斷；在事后審計(jì)過程中，其可提供檢索、報(bào)表和回放功能。部署堡壘機(jī)之后，可以降低管理成本、簡化操作流程、減輕管理壓力、符合訪問安全，并使其符合安全規(guī)范。

三、堡壘機(jī)的部署方式和規(guī)劃

（一）堡壘機(jī)的部署方式

對(duì)于資源相對(duì)集中的用戶（多數(shù)設(shè)備在同一區(qū)域內(nèi)），堡壘主機(jī)通常與被管理設(shè)備部署在同一區(qū)域，訪問控制策略設(shè)定在該區(qū)域接入交換機(jī)（或防火墻）上。對(duì)于用戶資源相對(duì)比較分散，分布在各區(qū)域內(nèi)的用戶，通常將堡壘主機(jī)部署在核心交換機(jī)上，便于訪問網(wǎng)絡(luò)中各個(gè)位置。訪問控制策略設(shè)定在核心交換機(jī)（或防火墻）以及各區(qū)域的接入交換機(jī)（或防火墻上）。堡壘機(jī)部署架構(gòu)圖如圖1所示。

其中，核心組件CORE是Jumpserver堡壘機(jī)的管理后臺(tái)，Luna是Web Terminal前端，用戶通過Luna界面登錄資產(chǎn)，KoKo組件支持以SSH和telnet協(xié)議連接資產(chǎn)，Lion組件支持以RDP和VNC協(xié)議的方式連接資產(chǎn)，OmniDB組件用來登錄數(shù)據(jù)庫資產(chǎn)，Magnus組件為本地?cái)?shù)據(jù)庫客戶端連接數(shù)據(jù)庫提供支持，RDP組件為本地RDP客戶端連接資產(chǎn)提供支持。

（二）部署資源規(guī)劃與準(zhǔn)備

以JumpServer堡壘機(jī)V3.8為例，首先要進(jìn)行部署服務(wù)器準(zhǔn)備、服務(wù)器端口開通準(zhǔn)備和平臺(tái)登錄信息規(guī)劃，部署資源準(zhǔn)備完成后并將該堡壘機(jī)接入到核心交換機(jī)上。其中部署服務(wù)器分為主節(jié)點(diǎn)服務(wù)器和應(yīng)用發(fā)布服務(wù)器，按照使用需求準(zhǔn)備硬件、軟件配置匹配的服務(wù)器資源。然后進(jìn)行相應(yīng)服務(wù)器端口開通，包括遠(yuǎn)程訪問、http連接、RDP客戶端連接、Redis服務(wù)端口等，如2222、22、80、443、3389、6379等。平臺(tái)登錄信息規(guī)劃包括Web界面登陸和服務(wù)器登錄的地址、用戶名和密碼。

四、堡壘機(jī)的功能性測試

將堡壘機(jī)接入到核心交換機(jī)上之后，便可以通過網(wǎng)頁對(duì)被管理設(shè)備進(jìn)行管理，在使用堡壘機(jī)前，需要對(duì)控制臺(tái)、審計(jì)臺(tái)、工作臺(tái)、工單管理和系統(tǒng)管理等五個(gè)部分的功能測試進(jìn)行測試，從而對(duì)運(yùn)維風(fēng)險(xiǎn)的控制能力進(jìn)行評(píng)估。

（1） 控制臺(tái)部分功能測試?？刂婆_(tái)部分包括用戶管理、資產(chǎn)管理、賬號(hào)管理和權(quán)限管理，其中用戶管理主要是為了創(chuàng)建本地用戶，對(duì)用戶進(jìn)行分組、角色分配等。資產(chǎn)管理是對(duì)自動(dòng)化系統(tǒng)涉及的主機(jī)、網(wǎng)絡(luò)設(shè)備進(jìn)行靈活管理。賬號(hào)管理是為了對(duì)賬號(hào)進(jìn)行托管、切換、推送、備份、改密等。權(quán)限管理主要是為了對(duì)資產(chǎn)進(jìn)行授權(quán)、登陸和對(duì)高危命令進(jìn)行攔截及復(fù)核等。

（2） 審計(jì)臺(tái)部分功能測試。審計(jì)臺(tái)部分包括會(huì)話審計(jì)和日志審計(jì)，其中會(huì)話審計(jì)是為了便于審計(jì)管理員能夠?qū)τ脩舻母黜?xiàng)操作進(jìn)行管理。日志審計(jì)是為了審計(jì)管理員能夠?qū)τ脩舻牡顷?、操作、改密和作業(yè)等所產(chǎn)生的日志進(jìn)行查看。

（3） 工作臺(tái)部分功能測試。工作臺(tái)部分包括資產(chǎn)連接和作業(yè)中心兩部分，其中資產(chǎn)連接是為了以可視化的方式為用戶展現(xiàn)可訪問的信息資產(chǎn)并通過瀏覽器、客戶端和web等方式訪問資產(chǎn)，并支持快速訪問、多人協(xié)同等功能。作業(yè)中心是為了對(duì)用戶需要進(jìn)行的操作進(jìn)行快捷、多批量和模板化的執(zhí)行并記錄執(zhí)行歷史。

（4） 工單管理功能測試。工單管理是為了方便用戶對(duì)資產(chǎn)的操作權(quán)限進(jìn)行申請、審批及遠(yuǎn)程審批等。

（5） 系統(tǒng)管理功能測試。系統(tǒng)管理部分包括登錄認(rèn)證設(shè)置、消息訂閱、終端設(shè)置、遠(yuǎn)程應(yīng)用、組織管理、安全策略和通用配置七個(gè)部分。其中認(rèn)證設(shè)置是為了滿足不同的安全需求對(duì)單點(diǎn)登錄、多因子認(rèn)證登錄及掃碼登陸進(jìn)行設(shè)置。消息訂閱是為了對(duì)系統(tǒng)所產(chǎn)生的消息以多種方式進(jìn)行通知。終端設(shè)置是為了對(duì)組件進(jìn)行控制和對(duì)錄像及命令進(jìn)行存儲(chǔ)。組織管理是為了對(duì)不同部門和業(yè)務(wù)組建不同的組織，從而實(shí)現(xiàn)用戶、資產(chǎn)和權(quán)限的物理隔離。安全策略是為了滿足不同的安全需求對(duì)會(huì)話進(jìn)行管理和對(duì)登錄規(guī)則進(jìn)行限制，包括會(huì)話空閑超時(shí)管理、會(huì)話水印管理、組合登錄認(rèn)證、異地登陸保護(hù)、用戶登錄限制及密碼規(guī)則。通用配置包括分布式策略、系統(tǒng)公告板、日志清理策略和自定義界面等基本的設(shè)置項(xiàng)。

五、結(jié)語

在運(yùn)維工作中，接入堡壘機(jī)并通過堡壘機(jī)登錄目標(biāo)資源，可以對(duì)用戶的真實(shí)身份和目標(biāo)資源進(jìn)行統(tǒng)一管理，并可以在一定程度上實(shí)現(xiàn)訪問控制。此方法可以降低運(yùn)維風(fēng)險(xiǎn)，從而進(jìn)一步提高網(wǎng)絡(luò)安全。

作者單位：北京無線電計(jì)量測試研究所