IT安全運維 | 堡壘機原理

2020-04-25 18:16 作者：admin 瀏覽量：

 
系統運維堡壘機，主要功能為認證、授權、審計，而各廠商又略有不同。作為IT運維會經常使用和部署。是安全運維的一道強力的安全防線。堡壘機從使用拓樸上說，分為二種
網關型堡壘機
一般采用二層透明橋方式接入網絡，一般拓樸位置在運維用戶前方，運維用戶做運維時，流量通過網關堡壘機，堡壘機對用戶的操作進行審計。這種堡壘機在2012年前在國外的一些廠商曾經這樣設計，國內廠商很少有這樣設計。
因為這種堡壘機上線需要修改網絡拓樸，并且難實現SSO、應用發布等功能，因此，目前已經非常少見，市場占有率不到1%。
運維審計型堡壘機
目前通用堡壘機為旁路接入模式，物理上旁路、邏輯上串行，用戶想要運維時，必須通過堡壘機進行跳轉登錄。這種堡壘機為通用模式，因為不修改網絡拓樸并且可以實現SSO、應用發布等多種功能，已經成為國內堡壘機的主流模式。
 
堡壘機工作流程示意圖 1） 運維人員在操作過程中首先連接到堡壘機，然后向堡壘機提交操作請求；
2） 該請求通過堡壘機的權限檢查后，堡壘機的應用代理模塊將代替用戶連接到目標設備完成該操作，之后目標設備將操作結果返回給堡壘機，最后堡壘機再將操作結果返回給運維操作人員。
通過這種方式，堡壘機邏輯上將運維人員與目標設備隔離開來，建立了從“運維人員->堡壘機用戶賬號->授權->目標設備賬號->目標設備”的管理模式，解決操作權限控制和行為審計問題的同時，也解決了加密協議和圖形協議等無法通過協議還原進行審計的問題。
 
在實際使用場景中堡壘機的使用人員通常可分為管理人員、運維操作人員、審計人員三類用戶。管理員最重要的職責是根據相應的安全策略和運維人員應有的操作權限來配置堡壘機的安全策略。堡壘機管理員登錄堡壘機后，在堡壘機內部，“策略管理”組件負責與管理員進行交互，并將管理員輸入的安全策略存儲到堡壘機內部的策略配置庫中。“應用代理”組件是堡壘機的核心，負責中轉運維操作用戶的操作并與堡壘機內部其他組件進行交互。“應用代理”組件收到運維人員的操作請求后調用“策略管理”組件對該操作行為進行核查，核查依據便是管理員已經配置好的策略配置庫，如此次操作不符合安全策略“應用代理”組件將拒絕該操作行為的執行。運維人員的操作行為通過“策略管理”組件的核查之后“應用代理”組件則代替運維人員連接目標設備完成相應操作，并將操作返回結果返回給對應的運維操作人員；同時此次操作過程被提交給堡壘機內部的“審計模塊”，然后此次操作過程被記錄到審計日志數據庫中。最后當需要調查運維人員的歷史操作記錄時，由審計員登錄堡壘機進行查詢，然后“審計模塊”從審計日志數據庫中讀取相應日志記錄并展示在審計員交互界面上。
 
以上內容由北京艾銻無限科技發展有限公司整理