文档介绍:绿盟平安审计系统-堡垒机
产品白皮书
【绿盟科技】
文档编号
�产品白皮书 ■ 密级 完全公开
版本编号
�日期 2013-1-8
撰写人
�刘敏 ■ 批准
人
�操作行为的监管问题。
基于 IP 的审计,难以精确定位责任人
大多数网络平安审计系统,只能审计到 IP 地址,难以将 IP 地址与具体人员身份精确关联,导致发生平安事故后,追查责任人成为新的难题。
面临法规遵从的压力
为加强信息系统风险治理,政府、金融、运营商等间续公布信息系统管 理规范和要求,如“信息系统等级爱护”、“商业银行信息科技风险治理指 引”、“企业内部把握基本规范”等均要求实行信息系统风险内控与审计, 但其自身确没有有效的技术手段。
上述风险带来的运维平安风险和审计监管问题,已经成为企业信息系统 平安运行的严峻隐患,制约业务进展,影响企业效益。企业 IT 运维平安治理的变革已刻不容缓!
二. 解决之道
目标
绿盟平安审计系统-堡垒机系列(NSFOCUS SAS-H Series,以下简称堡垒机或SAS-H)供应一套先进的运维平安管控与审计解决方案,目标是挂念 企业转变传统 IT 平安运维被动响应的模式,建立面对用户的集中、主动的运维平安管控模式,降低人为平安风险,满足合规要求,保障企业效益。
绿盟堡垒机产品通过规律上将人与目标设备分别,建立“人->主账号(堡垒机用户账号)->授权->从账号(目标设备账号)->目标设备”的治理模式; 在此模式下,通过基于唯一身份标识的集中账号与访问把握策略 ,与各服务器、网络设备、平安设备、数据库服务器等无缝连接,实现集中精细化运 维操作管控与审计。
图 核心思路
应用场景
堡垒机的典型应用场景如下图所示:
图 典型应用场景
治理对象
用户对象:治理员、运维人员、第三方代维人员等。
设备对象:服务器(Windows/Linux/UNIX)、网络设备、平安设备、数据 库等。
治理范围
集中监控各种运维操作行为。协议类型
SSH、Telnet、RDP、VNC、FTP、SFTP、HTTP、HTTPS 等。应用类型
各类数据库客户端、扫瞄器、专有客户端工具等。 部署方式
堡垒机接受“物理旁路,规律串联”的部署思路,主要通过两步实现:
通过配置交换机或目标设备的访问把握策略,只允许堡垒机的 IP 访问目标设备的运维、治理服务。
将堡垒机连接到对应交换机,确保全部维护人员到堡垒机 IP 可达。达成效果
建立集中的运维操作监控平台,建立基于唯一身份标识的实名制管 理,统一账号治理策略,实现跨平台治理,毁灭治理孤岛。
通过集中访问把握与授权,实现单点登录(SSO)和细粒度的命令级访 问授权。
基于用户的审计,审计到人,实现从登录到退出的全程操作行为审 计,满足合规治理和审计要求。
下面分别从堡垒机的治理员和一般用户的角度,介绍实现流程与效果:
治理员制定运维治理策略
图 治理员制定策略
添加设备
治理员添加需要治理的设备。设备包括服务器、网络设备、平安设备、 前置机、数据库服务器等维护对象,支持编辑相关设备信息包括设备类型、 所属部门、设备名称、IP 地址、协议类型、应用程序等。
添加从账号
治理员添加与设备对应的从账号(即设备的系统账号、数据库账号或WEB 登录账号),包括账号名、口令等;其中口令可由堡垒机定期自动更新。
添加主账号
治理员添加主账号(即一般用户账号)。主账号是登录堡垒机,猎取目标设备访问权的唯一账号,与实际用户身份一一对应,每个用户一个主账号, 每个主账号只属于一个用户。
建立主账号到设备的访问把握与审计策略
基于访问权限策略,治理员建立基于“时间+主账号+目标设备+从账号+ 权限+审计”等要素的关联治理策略。
治理员配置行为全程审计
堡垒机自动记录治理员的设备治理、账号治理和权限治理等全部行为日 志,以便审计员监控。
一般用户访问目标设备
一般用户登录堡垒机后,可以实现下述功能: 可修改堡垒机登录密码;
可集中访问各类已授权设备;
用户点击设备名称,无须再次输入密码,即可实现对各种设备的登 录。
具体实现流程如下:
图 一般用户访问目标设备
登录恳求
用户在终端通过 HTTPS 或第三方客户端工具登录堡垒机,输入主账号和口令,发起访问恳求。